02 gru

Stanowisko Ministerstwa Gospodarki w kwestii nowych obowiązków ABI

Ustawa o ułatwieniu wykonywania działalności gospodarczej, która wchodzi w życie z dniem 1. stycznia 2015 r. wprowadza szereg zmian dotyczących obowiązków Administratora Bezpieczeństwa Informacji. Poniżej przedstawiam wybrane fragmenty konsultacji międzyresortowych i społecznych, które mama nadzieję, że lepiej pozwolą zrozumieć zakres zmian i intencje ustawodawcy.

Większość wątpliwości budzą zapisy dotyczące ABI-ego.

Przykład (Biuro Informacji Kredytowej): 

Art. 12 pkt 4 – propozycja prowadzenia przez GIODO, rejestru administratorów
bezpieczeństwa informacji nie stanowi ułatwienia wykonywania działalności gospodarczej, a wprost przeciwnie nakłada na przedsiębiorców dodatkowe obowiązki tj. zgłaszania i odwoływania, a także aktualizowania informacji o ABI.

Odpowiedzi MG na pytania dotyczącego ABI:

Read More

02 gru

Od nowego roku nowelizacja ustawy o ochronie danych osobowych (aktualizacja)

Na dole strony podaję link do aktualnej treści ustawy, po wprowadzonych przed podpisaniem przez prezydenta RP zmianach.

Na początku roku wejdzie w życie przyjęta przez Sejm IV ustawa deregulacyjna, która w dość istotny sposób zmienia zapisy o ustawie o ochronie danych osobowych.

Najważniejsze zmiany:

1) Wprowadzenie zapisów dotyczących kompetencji ABI-ego,

2) Konieczność prowadzenia przez ABI-ego dorocznych sprawozdań,

3) Zmiany w zasadach prowadzenia rejestru zbiorów danych osobowych, w tym zasady rejestracji i zwolnienie z rejestracji zbiorów papierowych,

4) GIODO będzie prowadzić rejestr Administratorów Bezpieczeństwa Informacji.

Więcej informacji można znaleźć w tym artykule:

https://portalodo.com/entry/uwaga-zmiany-w-ustawie-o-ochronie-danych-osobowych

Tekst ustawy (art. 9 dotyczy zmian):

http://dziennikustaw.gov.pl/DU/2014/1662

21 lis

BIP a dane osobowe

Biblioteki publiczne mają obowiązek prowadzenia Biuletynów Informacji Publicznej oraz odpowiadania na pytania zadawane przez obywateli w związku z ustawą o dostępie do informacji publicznej. GIODO rozwiewa wątpliwości dotyczące pozostawiania lub usuwania danych osób prywatnych z dokumentów publikowanych w BIP:

Decyzja Generalnego Inspektora Ochrony Danych Osobowych
z dnia 4 listopada 2013 r. DOLiS/DEC-1155/13/72531, teza:

Publikacja dokumentu, który zawiera dane osobowe w zakresie, który może powodować naruszenie prawa do prywatności osoby, której te dane dotyczą, powinna nastąpić po odpowiednim przetworzeniu danych osobowych w tym dokumencie zawartych. Usunięcie personaliów osób prywatnych, czy też ich zanonimizowanie w ogłoszonej w BIP uchwale nie wpływa na czytelność dokonanego w ten sposób przekazu. W tym przypadku treść aktu administracyjnego nie traci waloru informacyjnego, albowiem wynika z niej kto, kiedy i w jakiej sprawie publicznej zajął określone stanowisko. Podstawowym celem BIP jest powszechne informowanie o sprawach publicznych i w tym przypadku cel ten został zrealizowany.

 

14 lis

Umieszczanie zdjęć pracowników na stronie biblioteki

Większość bibliotek prowadzi swoje strony internetowe, na których zamieszcza oprócz najistotniejszych informacji, jak kontakt, godziny otwarcia, czy link do katalogu, zdjęcia z różnych wydarzeń organizowanych w bibliotece, a czasami także zdjęcia kadry.

Czy fakt, że zamieszczone na stronie zdjęcia zawierają wizerunki pracowników wykonujących swoje czynności służbowe wystarcza do ich zamieszczania bez pozyskania dodatkowej zgody?

Zakres danych, jaki może żądać pracodawca od pracownika bez konieczności pozyskiwania jego zgody, określa art. 22 1 Kodeksu pracy. Należą do nich: imiona, nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia, a także imiona i nazwiska oraz daty urodzenia dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, jak również numeru PESEL pracownika. Read More

20 paź

Czym jest wizerunek?

Według Słownika Języka Polskiego PWN:

Wizerunek to 1) Czyjaś podobizna na rysunku, obrazie, zdjęciu itp.; 2) Sposób, w jaki dana osoba lub rzecz jest postrzegana i przedstawiana.

Zgodnie z art. 23 Kodeksu Cywilnego wizerunek jest zaliczany do dóbr osobistych człowieka i pozostaje pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Zgodnie z art. 6  ustawy o ochronie danych osobowych, wszelkie informacje pozwalające bez nadmiernego nakładu pracy i kosztów zidentyfikować daną osobę są danymi osobowymi. Nie ulega zatem wątpliwości, że wizerunek jest daną osobową.

Zasady rozpowszechniania wizerunku określają artykuł 81 ustawy o prawie autorskim i prawach pokrewnych. Punktem wyjścia jest zgoda osoby przedstawionej na zdjęciu na upublicznienie jej wizerunku (wyjątki omówię w oddzielnym wpisie).

Podsumowując:

Wizerunek jest dobrem osobistym człowieka i jest daną osobową. Podlega ochronie cywilnoprawnej zgodnie z Kodeksem Cywilnym oraz ustawą o prawie autorskim i prawach pokrewnych. Należy zatem uznać, że gromadzenie zdjęć jest gromadzeniem danych osobowych.

19 paź

Czy niepełnoletni może sam zapisać się do biblioteki?

Bardzo często powtarzające się na moich szkoleniach pytanie dotyczy możliwości samodzielnego zapisania się do biblioteki przez osobę niepełnoletnią.

Czy akceptacja regulaminu przez osobę niepełnoletnią będzie wiążąca? Czy osoba niepełnoletnia powinna złożyć swój podpis na karcie zobowiązania (zapisu) obok podpisu opiekuna prawnego?

Odpowiedź na to pytanie można znaleźć w art. 10 Kodeksu Cywilnego:

Ograniczoną zdolność do czynności prawnych mają osoby małoletnie, które ukończyły 13 lat (…) Zasadniczo do ważności umowy, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego.

Wyjątkami są:
– umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego, (…)

Skorzystanie z usług biblioteki, w tym zapisanie się do niej, można jak najbardziej uznać za bieżące sprawy życia codziennego, wobec tego małoletni czytelnik, który ukończył 13 rok życia może samodzielnie zapisać się do biblioteki.

Jeżeli biblioteka uznaje, że do 18 roku życia zapisu może dokonać za małoletniego opiekun prawny, wówczas podpis małoletniego na karcie zobowiązania jest niepotrzebny.

13 paź

Wzór oświadczenia

Zgodnie z art. 36.2. UODO:  Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 (niniejszej ustawy).

Ustawodawca ma na myśli konieczność wprowadzenia w bibliotece polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Każdy z pracowników powinien zapoznać się z obowiązującymi w bibliotece regulaminami, w tym tymi z zasad przetwarzania i zabezpieczania danych osobowych.

Niektóre biblioteki stosują, jako dokument potwierdzający zapoznanie się z wyżej wymienionymi dokumentami listy, na których muszą podpisać się wszyscy pracownicy. Jest to rozwiązanie, którego nie polecam. Po pierwsze, każdy nowy pracownik będzie musiał podpisać dodatkowe oświadczenie (nie będzie mógł dopisać się do listy, bo istotna jest data złożenia podpisu), co stwarza rozbieżność w dokumentacji. Powstaje też pytanie, gdzie przechowywać listę, a gdzie oświadczenie. Read More

13 paź

Wzór upoważnienia

Zgodnie z przepisami RODO do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby działające z polecenia administratora, a zatem posiadające upoważnienie nadane przez administratora danych.

Upoważnienie musi zawierać dane osoby upoważnionej oraz zakres upoważnienia. Powinno zostać nadane przez administratora danych, czyli w praktyce na upoważnieniu powinien podpisać się dyrektor/kierownik lub osoba wyznaczona przez niego (przez odrębne zarządzenie lub określenie tego zadania w polityce bezpieczeństwa).

Read More

11 paź

Ewidencja upoważnień

Zgodnie z art. 39 UODO:

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

W bibliotece są przetwarzane dane osobowe znajdujące się w kilkunastu zbiorach danych osobowych.

Read More