13 lip

Czy można wyrejestrować z GIODO zbiory zarejestrowane dla filii?

Pytanie od Pani Dagmary:

Czy jeżeli w roku 1999 zostały zarejestrowane w GIODO osobne zbiory d.o. czytelników poszczególnych filii bibliotecznych (jest ich 10), pozostawić taki stan rzeczy, czy może należałoby teraz to jakoś „odkręcić” (jak?) i zarejestrować jeden zbiór  Czytelników? W przypadku likwidacji jednej z filii, których d.o. przejęła inna filia – czy należy wyrejestrować w GIODO zbiór czytelników tej zlikwidowanej placówki?

Kwestia zmian w rejestracji zbiorów danych osobowych rzeczywiście wymaga uważnego wgłębienia się w ustawę, żeby zrozumieć, jak postępować. Co do zasady rejestruje się jeden zbiór danych osobowych i w zgłoszeniu zaznacza, czy dane są przetwarzane centralnie, czy w architekturze rozproszonej. Wybranie architektury rozproszonej stanowi dla GIODO informację, że zbiór jest przetwarzany nie tylko w siedzibie głównej, ale także w oddziałach, czy filiach.

Read More

26 cze

Czy trzeba rejestrować w GIODO zbiór danych „monitoring wizyjny”?

Pytanie od Pana Grzegorza:

Dzień dobry! Wskazała Pani w jednym z wpisów, że istnieje obowiązek zarejestrowania zbioru danych monitoringu wizyjnego w GIODO. Przecież nie jest to zbiór danych osobowych (gromadzone są tylko wizerunki). Jaką podstawę prawną należałoby wskazać dla przetwarzania danych w ramach tego zbioru?

Panie Grzegorzu, monitoring wizyjny instaluje się w celu ochrony mienia i osób. W szczególności, gdy zostanie dokonane wykroczenie, przekazuje się nagrania z monitoringu do policji, która na jego podstawie identyfikuje sprawcę, a następnie pociąga go do odpowiedzialności. Proszę zwrócić uwagę, że w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ponieważ nagarnie umożliwia wskazanie sprawcy, należy uznać, że przetwarzamy w ramach monitoringu dane osobowe.

Read More

16 cze

Czy trzeba ująć w polityce bezpieczeństwa informację o przetwarzaniu danych poza biblioteką, np. w urzędzie gminy?

Pytanie od Pani Agnieszki:
Chciałam zapytać o system rejestracji zbiorów w GIODO i Instrukcję zarządzania systemami informatycznymi w polityce bezpieczeństwa danych osobowych.
Czy bazę pracowników należy ująć w instrukcji (przy czym dane pracowników przetwarzane są w budynku Urzędu Gminy przez osobę księgowej. Księgowa biblioteki ma biuro w Urzędzie Gminy)? Czy bazę pracowników należy również zgłosić do GIODO (jako zbiór danych)?
Biblioteka musi mieć dwa dokumenty, politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi (polityka nie jest częścią instrukcji). Ich zawartość (spis treści) jest określona w rozporządzeniu.

Read More

08 cze

Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jeżeli administrator danych powoła i zarejestruje w GIODO adminstratora bezpieczeństwa informacji, to na tego ABIego spadnie obowiązek prowadzenia rejestru danych osobowych, który pierwotnie prowadziło GIODO.

Zasady realizacji tego obowiązku określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

01 cze

Pytanie: Kiedy muszę aktualizować zbiór w GIODO?

Pytanie od Pani Agnieszki:

Kiedy muszę aktualizować zbiór zarejestrowany w GIODO? Czy jest jakiś okres czasu, po którym należy zrobić aktualizację? 

Jeżeli zmieniły się dane administratora danych (np. adres, nazwa) lub inne informacje związane ze zbiorem (zakres zbieranych danych, podmiot, któremu powierzono dane) stosuje się art. 41. ust 2. UODO:

Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Read More

21 maj

Jak zmieniły się zasady rejestracji zbiorów po nowelizacji ustawy?

Pytanie od Pani Agnieszki:

Jak zmieniły się zasady rejestracji zbiorów w rejestrze GIODO po nowelizacji ustawy o ochronie danych osobowych? 

Nowelizacja ustawy przewiduje dwa sposoby prowadzenia rejestru zbioru danych osobowych – starą ścieżką przez GIODO lub nową ścieżką przez ABI-ego.

Nowa ścieżka oznacza, że administrator danych (biblioteka) nie będzie już musiał akutalizować i zgłaszać zbiorów do jawnego rejestru w GIODO, gdyż obowiązek prowadzenia rejestru przejmie powołany przez administratora danych ABI. Wówczas zgłoszeniu w GIODO będą w dalszym ciągu podlegać tylko zbiory zawierające dane wrażliwe. Pozostałe będą prowadzone we własnym rejestrze biblioteki. Read More

17 sty

Czy stworzenie dokumentu tekstowego zawierającego dane osobowe, to już przetwarzanie elektroniczne?

Pytanie od Pana Romana: Stworzenie dokumentu tekstowego, który zawiera dane osobowe uczestników konkursów na komputerze to już przetwarzanie elektroniczne?

Przetwarzanie danych osobowych z użyciem sprzętu komputerowego to przetwarzanie elektroniczne, jednakże należy pamiętać, że dokumenty tekstowe, czy arkusze kalkulacyjne nie są systemami informatycznymi (celem ich użytkowania jest przygotowanie dokumentu w formie papierowej). Wobec tego, jeżeli mamy zbiory danych osobowych prowadzone w formie papierowej, które są przetwarzane przy użyciu dokumentów tekstowych, czy arkuszy kalkulacyjnych, to zgodnie z ustawą są to zbiory prowadzone tylko i wyłącznie w formie papierowej. Read More

15 sty

Czy za każdym razem, gdy organizuję konkurs muszę zgłaszać zbiór do GIODO?

Wraca do mnie jak bumerang pytanie dotyczące zbiorów danych osobowych, które zawierają dane osobowe różnych osób w różnym zakresie pól informacyjnych, takich jak „uczestnicy konkursów”, czy „uczestników szkoleń”. W zależności od wydarzenia, raz zbiera się szerszy zakres danych od uczestników (dane teleadresowe, PESEL, dane kontaktowe), a czasami węższy (np. tylko imię, nazwisko i e-mail). Pytanie brzmi, czy za każdym razem, gdy planujemy zbierać dane do tego zbioru, powinniśmy zgłaszać zmianę do GIODO? A może każdy konkurs (szkolenie) zgłaszać jako odrębny zbiór? Read More

14 gru

Sposób prowadzenia rejestrów zbiorów w świetle nowych przepisów

Od nowego roku, jeśli administrator danych postanowi powołać ABI, to jednym z obowiązków ABI-ego będzie prowadzenie jawnego rejestru zbiorów danych osobowych. Ministerstwo Administracji i Cyfryzacji przygotowało projekt rozporządzenia dotyczący sposobu prowadzenia tego rejestru (dostępny tutaj).

W zakresie pól informacyjnych MAiC proponuje podawanie tych samych informacji, które do tej pory zbierał GIODO (oznaczenie administratora danych, cel przetwarzania, kategorie osób, zbierane dane, podstawa prawna, itd.).

Co ciekawe MAiC proponuje prowadzenie rejestru w formie elektronicznej lub papierowej. Read More

02 gru

Od nowego roku nowelizacja ustawy o ochronie danych osobowych (aktualizacja)

Na dole strony podaję link do aktualnej treści ustawy, po wprowadzonych przed podpisaniem przez prezydenta RP zmianach.

Na początku roku wejdzie w życie przyjęta przez Sejm IV ustawa deregulacyjna, która w dość istotny sposób zmienia zapisy o ustawie o ochronie danych osobowych.

Najważniejsze zmiany:

1) Wprowadzenie zapisów dotyczących kompetencji ABI-ego,

2) Konieczność prowadzenia przez ABI-ego dorocznych sprawozdań,

3) Zmiany w zasadach prowadzenia rejestru zbiorów danych osobowych, w tym zasady rejestracji i zwolnienie z rejestracji zbiorów papierowych,

4) GIODO będzie prowadzić rejestr Administratorów Bezpieczeństwa Informacji.

Więcej informacji można znaleźć w tym artykule:

https://portalodo.com/entry/uwaga-zmiany-w-ustawie-o-ochronie-danych-osobowych

Tekst ustawy (art. 9 dotyczy zmian):

http://dziennikustaw.gov.pl/DU/2014/1662