16 mar

Podstawy prawne przetwarzania danych w związku z pomocą uchodźcom z Ukrainy

W związku z brakiem odpowiednich przepisów na samym początku udzielania wsparcia obywatelom Ukrainy pojawiły się wątpliwości w zakresie ustalenia właściwej podstawy prawnej tego przetwarzania. Jest to szczególnie ważne w kontekście klauzul informacyjnych, które należy przekazać osobom, których dane przetwarzamy (w końcu nadal obowiązują nas przepisy RODO).

Podmioty publiczne, które gromadzą dane uchodźców w celu zapewnienia im pomocy, powinny wskazać, jako przesłankę legalizującą „interes publiczny, w związku z przepisami ustawy z dnia 12 marca 2022 r. o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa (Dz. U. poz. 583 z późn. zm.).”

Podmioty prywatne, które działają na polecenie podmiotów publicznych w zakresie bezpośredniej pomocy (tzn. zadanie zlecone), także będą wskazywać jako przesłankę legalizujacą przetwarzanie „interes publiczny, w związku z przepisami ustawy z dnia 12 marca 2022 r. o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa (Dz. U. poz. 583 z późn. zm.).”

Podmioty prywatne i osoby prywatne, które będą we własnym zakresie organizować pomoc, będą przetwarzać dane w oparciu o prawnie uzasadniony interes administratora. Tym interesem może być np. realizowanie celów statutowych (fundacje, stowarzyszenia). Oczywiście należy pamiętać, że jeżeli taka pomoc jest realizowana przez osobę fizyczną (także prowadzącą JDG) i ma czysto prywatny charakter, to przepisy RODO będą wyłączone, zgodnie z art. 2 ust. 2 lit. c RODO.

Read More
25 kwi

Czy numer PESEL jest konieczny w umowie?

Pytanie od Pana Grzegorza:

Nasza firma podpisuje z klientami umowy na wywóz nieczystości. Niektórzy klienci nie chcą podawać numeru PESEL w umowie, zasłaniając się ochroną danych osobowych oraz brakiem celowości zbierania PESEL-u (tzn. uważają, że zbieramy je na zapas). Rzeczywiście PESEL jest przez nas wykorzystywany dopiero, gdy klient nie wywiązuje się ze swoich zobowiązań i chcemy odzyskać należności. Czy klient może odmówić wpisania numeru PESEL do umowy?

W celu zawarcia umowy należy na wstępie określić jednoznacznie strony tej umowy. Jest to ważne nie tylko ze względu na dochodzenie późniejszych roszczeń przez strony, ale także aby uniknąć sytuacji, gdy ktoś wykorzysta cudze dane do zawarcia umowy w jego imieniu. Jeżeli nie da się jednoznacznie zidentyfikować stron podpisujących umowę, jest ona nieważna. Numer PESEL pozwala ustalić wszystkie pozostałe dane obywatela (taką informację uzyskuje się na uzasadniony w przepisach prawa wniosek do organu prowadzącego lub mającego dostęp do centralnego rejestru numerów PESEL). Read More

13 lip

Czy można wyrejestrować z GIODO zbiory zarejestrowane dla filii?

Pytanie od Pani Dagmary:

Czy jeżeli w roku 1999 zostały zarejestrowane w GIODO osobne zbiory d.o. czytelników poszczególnych filii bibliotecznych (jest ich 10), pozostawić taki stan rzeczy, czy może należałoby teraz to jakoś „odkręcić” (jak?) i zarejestrować jeden zbiór  Czytelników? W przypadku likwidacji jednej z filii, których d.o. przejęła inna filia – czy należy wyrejestrować w GIODO zbiór czytelników tej zlikwidowanej placówki?

Kwestia zmian w rejestracji zbiorów danych osobowych rzeczywiście wymaga uważnego wgłębienia się w ustawę, żeby zrozumieć, jak postępować. Co do zasady rejestruje się jeden zbiór danych osobowych i w zgłoszeniu zaznacza, czy dane są przetwarzane centralnie, czy w architekturze rozproszonej. Wybranie architektury rozproszonej stanowi dla GIODO informację, że zbiór jest przetwarzany nie tylko w siedzibie głównej, ale także w oddziałach, czy filiach.

Read More

03 lip

Czy zeszyt użytkowników czytelni zawiera dane osobowe?

Pytanie od Pana Krzysztofa:

Zwracam się do Pani z pytaniem odnośnie zeszytów odwiedzin w Czytelni dla dzieci i młodzieży i korzystania z prasy, gier planszowych. Do każdego takiego zeszytu czytelnik wpisuje imię i nazwisko i z czego korzystał. Czy w świetle przepisów o ochronie danych osobowych takie zeszyty mają prawo bytu? Czy jednak powinny one mieć charakter anonimowy, czyli czytelnik wpisuje z czego korzystał, ale pomijamy wpisanie imienia i nazwiska i stosujemy tylko liczbę porządkową?Jest na to jakiś złoty środek, aby nie mieć problemów z brakiem ochrony danych osobowych. 

Zgodnie z przepisami danych osobowych, aby przetwarzanie danych osobowych było dopuszczalne, muszą być spełnione trzy warunki:
– legalności,
– adekwatności,
– celowości.
Aby ustalić, czy są one spełnione, należy rozpocząć od odpowiedzi na pytania:
– w jakim celu prowadzone są zeszyty?
– jakie jest uzasadnienie zbierania danych w zakresie imienia i nazwiska (do czego te konkretne dane są wykorzystywane)?

Read More

25 maj

Czy zawsze konieczna jest zgoda?

Pytanie od Pana Dariusza:

Biblioteka prowadzi okresowo zajęcia popołudniowe dla dzieci jak również dla dorosłych. Na te zajęcia prowadzone są zapisy (imię, nazwisko, telefon, e-mail, dla  dzieci też adres zamieszkania).
Czy w tym wypadku wymagana jest zgoda na przetwarzanie tych  danych, gdy przetwarzane są tylko na potrzeby przeprowadzenia zajęć? Read More

08 maj

Dane o stanie zdrowia czytelników

Niektóre biblioteki zbierają informacje o niepełnosprawności czytelników w związku z wypożyczaniem im zbiorów specjalnych (np. książek czytanych). Czasami czynność ogranicza się tylko do przyjęcia oświadczenia o niepełnosprawności, czasami bibliotekarz prosi o okazania zaświadczenia. Najczęściej wynika to ze zobowiązania biblioteki określonego w ramach umowy z dostawcą książek. Biblioteka raz do roku przesyła też do dostawy informacje statystyczne o wypożyczeniach.

Nie ulega wątpliwości, że bibliotekarz uzyskuje w ten sposób informacje o danych wrażliwych (stan zdrowia czytelnika) i nawet jeżeli te dane nie są gromadzone wprost w systemie, to podpisana z dostawcą książek umowa, wskazuje, że biblioteka wchodzi w posiadanie takich danych. Tym bardziej, jeżeli przygotowuje statystyki osób, które wypożyczają książki czytane, które aby móc je wypożyczyć, muszą wykazać swoją niepełnosprawność, mówimy o przetwarzaniu danych wrażliwych o stanie zdrowia. Read More

16 mar

Co należy zrobić, aby legalnie przetwarzać dane osobowe

Często poruszam ten temat na warsztatach – jakie warunki techniczne i organizacyjne musi spełnić biblioteka, żeby móc legalnie przetwarzać (gromadzić, edytować, itd.), dane osobowe. W kolejności realizowania są to:

  • Wprowadzenie odpowiednich zabezpieczeń fizycznych (np. szafy i pomieszczenia zamykane na klucz) oraz systemowych (dla danych przetwarzanych w systemach informatycznych).
  • Wyznaczenie osób odpowiedzialnych za realizację zdań związanych z ochroną danych osobowych, w szczególności powołanie administratora bezpieczeństwa informacji (jest to czynność fakultatywna).
  • Opracowanie i wdrożenie polityki bezpieczeństwa (regulaminu przetwarzania danych osobowych).

Read More

18 lut

Dowód osobisty pod zastaw

Ten temat wraca jak bumerang. Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych wskazuje jedyne podmioty uprawnione do żądania dowodu osobistego od obywatela.

Praktyka brania dowodu pod zastaw udostępnionych książek lub od osoby korzystającej z czytelni internetowej, czasopism, itp., jest niezgodne z przepisami. Zamiast dokumentu tożsamości biblioteka powinna pobrać kaucję zwrotną (pobieranie kaucji przewiduje ustawa o bibliotekach).

Oczywiście nie powinniśmy dawać naszych dowodów pod zastaw także innym instytucjom, np. wypożyczalni łyżew, czy sprzętu wodnego. Tutaj analogicznie powinna zostać pobrana kaucja zwrotna.

Polecam wystąpienie GIODO w tej sprawie: http://www.giodo.gov.pl/560/id_art/8374/j/pl/