Informatyzacja bibliotek w świetle ustawy o ochronie danych osobowych. Czy biblioteki przetwarzają dane osobowe czytelników?

Wielkość: px
Rozpocząć pokaz od strony:

Download "Informatyzacja bibliotek w świetle ustawy o ochronie danych osobowych. Czy biblioteki przetwarzają dane osobowe czytelników?"

Transkrypt

1 Informatyzacja bibliotek w świetle ustawy o ochronie danych osobowych Karol Górski, CISM ENIGMA Systemy Ochrony Informacji sp. z o.o. Wstęp Ustawa o ochronie danych osobowych 1 już od prawie 10 lat reguluje zasady przetwarzania danych osobowych, czyli, zgodnie z ustawową definicją, takich danych, które powiązać można z konkretną osobą. Przepisy ustawy stosować należy wszędzie tam, gdzie przetwarza się takie dane, o ile nie ma przepisów szczegółowych, właściwych dla danej branży, a w przypadku gdy są - w zakresie nieuregulowanym przepisami szczegółowymi. Celem niniejszego artykułu jest omówienie zagadnienia ochrony danych osobowych w kontekście systemów informatycznych w bibliotekach publicznych. Czy biblioteki przetwarzają dane osobowe czytelników? Przepisy nie stanowią wprost o dopuszczalności przetwarzania danych osobowych czytelników (użytkowników biblioteki). Wprowadzają jednak obowiązek ochrony materiałów bibliotecznych jako jedno z podstawowych zadań. Obowiązek ten nie mógłby być realizowany bez posiadania wiedzy o osobach, którym materiały biblioteczne są wypożyczane. Z tego zadania wynika więc prawo do przetwarzania danych w zakresie wystarczającym do ochrony zbiorów bibliotecznych, a w praktyce do zapewnienia sobie możliwości zrealizowania uprawnienia określonego w art. 14 ust. 2 pkt 5 ustawy o bibliotekach. Tak więc, jak można przeczytać w sprawozdaniu GIODO za rok 2000: W odpowiedzi na jedno z pytań prawnych Generalny Inspektor uznał, iż biblioteki przetwarzają dane o czytelnikach na podstawie przesłanki określonej w art. 23 ust. 1 pkt 2 ustawy. Na gromadzenie tych informacji zezwalają bowiem przepisy ustawy z dnia 27 czerwca 1997 r. o bibliotekach (Dz. U. Nr 85, poz. 539). Ponieważ przepisy branżowe (ustawa o bibliotekach i ustawa o organizowaniu i prowadzeniu działalności kulturalnej) nie poruszają zagadnienia ochrony danych osobowych więc stosować należy w całej rozciągłości ustawę o ochronie danych osobowych. Trzeba więc również uznać, iż brak jest przesłanek, które zwalniałyby z obowiązku rejestracji zbioru czytelników w przypadku bibliotek publicznych (inna jest sytuacja bibliotek uczelnianych, zakładowych, w zakładach opieki zdrowotnej itp.). Biblioteki publiczne są również zobowiązane do uczestnictwa w badaniach statystycznych. Coroczne sprawozdania składane na drukach K-03 wymagają podania liczby czytelników w podziale na kategorie wiekowe oraz kategorie zatrudnienia. Są to jednak dane zbiorcze, opracowane na podstawie danych jednostkowych, zebranych od czytelników korzystających z biblioteki w 1 W dalszej części artykułu gdy mowa będzie o ustawie (bez dodatkowego określenia) oznaczać to będzie ustawę o ochronie danych osobowych, a gdy mowa będzie o rozporządzeniu oznaczać to będzie rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

2 danym roku kalendarzowym. Z obowiązku składania takich zestawień nie wynika jednak wprost prawo do przetwarzania - a więc również przechowywania - informacji o kategorii zatrudnienia czytelnika (a tym bardzie o zawodzie) po jej uwzględnieniu w zbiorczym podsumowaniu (ustawa wręcz zakazuje takiej praktyki w art. 26 ust. 1 pkt 4) - taka informacja może być zebrana do odrębnego zbioru, nie posiadającego powiązań ze zbiorem danych osobowych czytelników, przy czym taka metoda może być stosowana zarówno tam gdzie proces obsługi czytelników jest skomputeryzowany jak i tam gdzie jest on prowadzony w sposób ręczny. Kolejne pytanie jakie się pojawia dotyczy tego, kto jest odpowiedzialny za prawidłowe przetwarzanie danych osobowych w bibliotece? W myśl ustawy ta odpowiedzialność przypisana jest tzw. administratorowi danych (osobowych), czyli podmiotowi który decyduje o celach przetwarzania danych osobowych i środkach do tego stosowanych. W większości przypadków przyjąć można, iż biblioteki publiczne są administratorami przetwarzanych przez siebie danych osobowych, jeżeli działają jako samodzielne jednostki organizacyjne, prowadzące samodzielną gospodarkę finansową. Inna jest sytuacja bibliotek szkolnych, zakładowych lub prowadzonych dla obsługi specjalnych grup użytkowników w zakładach opieki zdrowotnej, zakładach karnych itp. Administratorem danych osobowych jak zostało wspomniane jest podmiot - osoba prawna lub jednostka organizacyjna nie mająca osobowości prawnej. Za prawidłowe wywiązywanie się z obowiązków administratora danych osobowych odpowiadać będzie dyrektor tego podmiotu. Administratora danych osobowych nie należy mylić z administratorem bezpieczeństwa informacji, które to pojęcie również się w ustawie o ochronie danych osobowych pojawia. (Administrator bezpieczeństwa informacji, popularnie określany skrótem ABI, ma nadzorować czy przestrzegane są obowiązujące przepisy: ustawa, rozporządzenia ale również przepisy wewnętrzne - polityka bezpieczeństwa, instrukcje zarządzania systemami informatycznymi itd., dotyczące przetwarzania danych osobowych.) Zbiór danych osobowych czytelników nie jest jedynym zbiorem jaki jest przetwarzany w bibliotekach publicznych. Przepisy ustawy o bibliotekach przewidują, iż biblioteki zatrudniają pracowników a co za tym idzie pełnią rolę pracodawców. Obowiązkiem pracodawców wynikającym z kodeksu pracy jest m.in. gromadzenie dokumentacji pracowniczej w formie tzw. akt osobowych. Zgodnie z obowiązującą wykładnią przepisów o ochronie danych osobowych akta te stanowią zbiory danych osobowych, podlegające ochronie zgodnie z tymi przepisami. Możliwe jest również występowanie innych zbiorów danych osobowych. Jaki jest aktualny stan ochrony danych osobowych w bibliotekach? Poniżej przedstawiono kilka czynników składających się na obraz aktualnej sytuacji bibliotek w kontekście ochrony danych osobowych. Statystyki rejestracji zbiorów i aktualizacji wniosków Z krótkiego przeglądu rejestru zbiorów danych osobowych (dane dostępne w portalu e-giodo) wynika, iż liczba zarejestrowanych przez biblioteki zbiorów wynosi ok (wyszukiwanie wg klucza 'biblio' w polu 'nazwa administratora' daje liczbę 2160 zbiorów, wyszukiwanie wg klucza 'czytel' w polu 'nazwa zbioru' daje liczbę 2254 zbiorów), przy czym przeważnie każda biblioteka zarejestrowała 1 zbiór ale bywało też tak, że jedna biblioteka gminna rejestrowała odrębne zbiory dla wszystkich swoich filii. Podana suma zarejestrowanych zbiorów obejmuje również biblioteki pedagogiczne, wojskowe i inne. Te wartości zbieżne są z sumą zbiorów zgłoszonych do rejestracji przez biblioteki, zgłaszanych w latach według rocznych sprawozdań GIODO. (W sprawozdaniach za rok 2004 i 2005 brak informacji o rejestracji zbiorów przez biblioteki).

3 Dane o zgłoszeniach wniosków rejestracyjnych ze sprawozdań GIODO: rok Liczba zgloszeń bd 2005 bd W innym źródle [9] spotkać można liczbę 2615 zgłoszonych przez biblioteki do rejestracji zbiorów, bez wskazania jakie biblioteki obejmuje ta liczba. Tymczasem, według opracowania Biblioteki publiczne w liczbach [8] w roku 2005 samych bibliotek publicznych (bez filii) było Nie można co prawda wykluczyć, że pozostałe biblioteki zostały wchłonięte przez miejskie lub gminne ośrodki kultury bądź inne jednostki organizacyjne i zarejestrowały swoje zbiory pod takimi nazwami w nazwie administratora, jednocześnie nie używając słowa czytelnicy (w różnych odmianach) w nazwie zbioru, jednak wydaje się prawdopodobne że pewna liczba bibliotek publicznych nadal nie dopełniła obowiązku rejestracji zbioru danych osobowych swoich czytelników. Z wyrywkowego przeglądu informacji o aktualizacjach wniosków rejestracyjnych wynika z kolei, iż większość bibliotek posiadających zarejestrowane zbiory nie dokonała aktualizacji związanej z nowelizacją ustawy w 2004 roku (a w bardzo wielu przypadkach - ani jednej aktualizacji od czasu zarejestrowania zbioru) i zmienionymi w efekcie tej nowelizacji wymaganiami na przetwarzanie i zabezpieczenie danych osobowych. Na blisko 200 sprawdzonych bibliotek tylko 5 aktualizowało swoje wnioski po wejściu w życie nowelizacji z 2004 roku. Istnieje duże prawdopodobieństwo, że w większości bibliotek zabrakło również działań wewnątrz-bibliotecznych zmierzających do dostosowania systemów ochrony danych osobowych do zmian w przepisach. W okresie obowiązywania ustawy istniały do tej pory 3 istotnie różniące się wersje: z 1997, z 2002 i z 2004 roku. Zmiany wprowadzone między 1997 a 2002 rokiem w przypadku bibliotek nie powodowały raczej konieczności aktualizacji wniosków rejestracyjnych z wyjątkiem być może rozszerzenia zakresu przetwarzanych danych jako konsekwencji zmiany definicji danych osobowych. Zmiany wprowadzone w roku 2004 były znaczące, szczególnie w warstwie wymaganych środków organizacyjnych i technicznych oraz dokumentacji systemu. Administratorzy danych mieli czas do 1 listopada 2004 na dostosowanie swoich systemów do nowych wymagań i 30 dni od daty wprowadzenia zmian w systemie i zbiorach na zaktualizowanie wniosków rejestracyjnych w przypadku zbiorów podlegających rejestracji. Jakie przepisy uległy zmianie przy nowelizacji? Wyliczenie wybranych zmian w przepisach, szczególnie tych mogących mieć zastosowanie w bibliotekach, znajduje się w załączniku. Należy pamiętać, że bardzo istotnie zmieniło się również rozporządzenie określające warunki organizacyjne i techniczne dla urządzeń i systemów informatycznych służących do przetwarzania danych osobowych.

4 W okresie obowiązywania ustawy nie była przeprowadzona ani jedna kontrola GIODO w bibliotekach publicznych (wg informacji zawartych w sprawozdaniach GIODO). Statystyki rozmiaru baz danych w bibliotekach Skalę przetwarzania danych osobowych przez biblioteki publiczne mogą zilustrować dane statystyczne z małego rocznika statystycznego [10]. W 2004 roku na ok. 8,7 tys. bibliotek publicznych i ich filii ok. 5,7 tys. znajdowało się na wsi a 3,1 tys. w miastach. Biblioteki wiejskie obsługiwały ok. 1,9 mln czytelników, miejskie - ok. 5,6 mln czytelników. Średnia liczba czytelników na pojedynczą bibliotekę lub filię wynosiła więc ok. 330 na wsi i 1800 w miastach, przy czym w sytuacji gdy zbiory są scentralizowane, a tak często jest w systemach informatycznych obsługujących szczególnie większe biblioteki, w pojedynczym miejscu przetwarzane będą zbiory wielokrotnie liczniejsze, liczące być może po kilkadziesiąt tysięcy rekordów. Statystyki komputeryzacji bibliotek Od roku 2000 do roku 2004 znacząco wzrosła liczba skomputeryzowanych lub komputeryzujących się placówek bibliotecznych - z 9% do 25%. Z tego tylko 3,4% placówek było w 2004 roku skomputeryzowanych w pełni (ok. 8% placówek w miastach i 0,64% placówek na wsi). Łączna liczba instalacji systemów bibliotecznych wynosiła w 2004 roku 1599 placówek. Dane te pochodzą z opracowania [11]. Co pocieszające, na liście przeszkód w procesie komputeryzacji bibliotek, zamieszczonej w powyższym opracowaniu, nie figuruje problem ochrony danych osobowych i dostosowania bibliotek do wymagań przepisów o ochronie danych osobowych. Spełnianie wymogów ustawy przez systemy informatyczne do obsługi bibliotek Liczba systemów informatycznych do obsługi bibliotek jest pokaźna - można się o tym przekonać czytając opracowanie pt. Polskie programy biblioteczne dla małych i średnich bibliotek publicznych [12] i jego suplement z 2004 roku [13]. Lektura tych materiałów raportu prowadzi do wniosku, iż zagadnienia ochrony danych osobowych czytelników nie zostały w tych systemach uwzględnione. Własne doświadczenia oraz wyniki ankiety przeprowadzonej przez autora na potrzeby niniejszego artykułu wśród kilku producentów popularnych systemów informatycznych dla bibliotek pozwalają na obserwację, iż sytuacja ulega powolnej poprawie w tym względzie. Podsumowanie Wydaje się, iż sytuacja jest więc następująca: - biblioteki przetwarzają dane osobowe - temat ochrony danych osobowych znany jest większości bibliotek publicznych - większość wniosków o rejestrację zbiorów danych osobowych czytelników złożono w latach biblioteki w niewielkim stopniu realizowały obowiązek dostosowania wniosków rejestracyjnych do wymagań nowelizowanych przepisów - wydaje się prawdopodobne, iż biblioteki w równie niewielkim stopniu dostosowywały swoje systemy ochrony do zmian w przepisach - postępująca w dość szybkim tempie komputeryzacja bazuje na wielu przypadkach na systemach niespełniających ustawowych wymagań dla systemów przetwarzających dane osobowe Czy warto zmieniać tę sytuację? Czym grozi ignorowanie przepisów o ochronie danych osobowych? Możliwe są: - sankcje karne,

5 - kontrole GIODO i decyzje administracyjne wydawane na skutek kontroli, - procesy cywilne i odszkodowania. Dane dotyczące skazań na podstawie przepisów karnych zawartych w ustawie o ochronie danych osobowych znaleźć można na stronach internetowych Ministerstwa Sprawiedliwości Poniżej w tabelce przedstawiono liczby prawomocnie skazanych osób dorosłych w podziale według roku i przepisu karnego ustawy o ochronie danych osobowych (dane za rok 1998 obejmują okres ): łącznie Art. 49 ust Art. 49 ust Art Art. 51 ust Art. 51 ust Art Art Art Dane dotyczące kontroli i zawiadomień o popełnieniu przestępstwa znajdują się na stronach GIODO (http://www.giodo.gov.pl/246/). Jak widać liczba kontroli przeprowadzanych co roku to ok Przeciętnie w połowie przypadków dochodzi do zawiadomienia prokuratury. Skazania były omówione wcześniej. Decyzje administracyjne wydawane przez GIODO w wyniku kontroli mogą zawierać następujące nakazy: - usunięcie uchybień, - uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, - zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, - wstrzymanie przekazywania danych osobowych do państwa trzeciego, - zabezpieczenie danych lub przekazanie ich innym podmiotom, - usunięcie danych osobowych a jeżeli decyzja jest wydawana w czasie trwania postępowania rejestracyjnego to może nakazywać również ograniczenie przetwarzania wszystkich albo niektórych kategorii danych do ich przechowywania. Procesy cywilne o odszkodowanie za szkody w wyniku przetwarzania danych osobowych są trudne do syntetycznego scharakteryzowania pod względem liczby i przyznanych odszkodowań, wiadomo jednak że takie sprawy miały miejsce i kończyły się zasądzeniem odszkodowania. Dotychczasowe doświadczenia wskazują na to, iż biblioteki i ich kierownictwa nie postrzegają powyższych czynników jako dostatecznie poważnych. Być może pora jest więc na pewną zmianę perspektywy patrzenia na przepisy ustawy o ochronie danych osobowych i wykorzystanie jej jako środka pomocnego dla zapewnienia prawidłowego skomputeryzowania biblioteki. W obliczu coraz większego uzależnienia bibliotek od systemów informatycznych, coraz większego uczestnictwa bibliotek w sieci internet i coraz szerszego spektrum elektronicznych usług świadczonych

6 czytelnikom warto potraktować przepisy o ochronie danych osobowych jako punkt wyjścia do wprowadzenia w bibliotekach podstawowych zasad zabezpieczenia systemów informatycznych i informacji w nich zawartych. Przepisy te zawierają bowiem wiele elementów, które należą do tzw. dobrej praktyki w obszarze ochrony informacji i bezpieczeństwa systemów informatycznych i które, jak się wydaje warto rozciągnąć, przynajmniej co do zasady jeśli nie konkretnych środków, na wszystkie systemu informatyczne funkcjonujące w bibliotekach, bez względu na to czy przetwarzają dane osobowe czy nie. Z praktyki można przytoczyć sytuacje, gdy w trakcie wdrażania systemu ochrony danych osobowych wychodziły na jaw takie sprawy jak np. brak kopii zapasowych i archiwalnych danych księgowych. Dodatkową korzyścią z opracowania i wprowadzenia systemu ochrony danych osobowych, szczególnie w bibliotekach wielooddziałowych, może być ujednolicenie a nawet usprawnienie tych procesów, w których następuje przetwarzanie danych czytelników, a więc tych najważniejszych z punktu widzenia klientów biblioteki. Wdrażając system ochrony danych osobowych warto zastosować tzw. procesowe podejście do zarządzania, w tym wypadku zarządzania bezpieczeństwem informacji. Takie podejście, analogiczne do stosowanego w systemach zarządzania jakością, w sferze bezpieczeństwa informacji ujęte jest w normie ISO/IEC (wkrótce powinno pojawić się polskie wydanie tej normy, obecnie dostępna jest wcześniejsza wersja znana jako PN I ). Podejście procesowe jest ukierunkowane na wykrywanie niezgodności, analizowanie ich przyczyn i doskonalenie systemu eliminujące wykryte przyczyny występowania niezgodności. Zakres systemu może być określony przez administratora danych (nie musi obejmować całej jednostki i wszystkich jej zadań). Poziom zabezpieczeń jaki powinien być zastosowany jest natomiast efektem przeprowadzenia analizy ryzyka (centralnego elementu takich systemów). Celem tego działania jest wybranie zabezpieczeń, które odpowiadają celom jednostki oraz zidentyfikowanym zagrożeniom i ich skali. System zarządzania bezpieczeństwem wymusza jednocześnie szereg działań porządkujących funkcjonowanie jednostki (nadzór nad dokumentami i zapisami, okresowe przeglądy systemu). Etapy wdrożenia systemu ochrony danych osobowych W idealnym przypadku system ochrony danych osobowych powinien być wdrożony w momencie rozpoczęcia przetwarzania danych osobowych. W praktyce rozpoczęcie eksploatacji systemu informatycznego wyprzedza często kroki służące zapewnieniu ochrony danych. Powoduje to problemy ze spełnieniem wielu wymagań ustawy. Części z nich można by uniknąć uwzględniając potrzebę ochrony danych osobowych na etapie projektu systemu informatycznego. Takie podejście zmniejsza też ryzyko odrzucenia lub sabotowania narzuconych rozwiązań gdyż pracownicy postrzegają je jako naturalnie związane z nowym systemem. Jeżeli natomiast system funkcjonował poprawnie z ich punktu widzenia bez zabezpieczeń a następnie wprowadza zabezpieczenia i zmusza przez to do działań utrudniających ich pracę lub nawet tylko zmieniających ich nawyki, to naturalny jest opór z ich strony. W proces wdrażania systemu przetwarzającego dane osobowe należy więc włączyć następujące elementy związane z zapewnieniem ochrony danych osobowych w tym systemie: identyfikacja przetwarzanych danych osobowych (zbiorów i zakresów danych), określenie podstawy prawnej dla ich przetwarzania, określenie czy zbiór podlega rejestracji, określenie obszarów przetwarzania danych osobowych, określenie wymaganego poziomu zabezpieczeń, skonfigurowanie aplikacji w taki sposób, aby spełnione były wymagania na funkcjonalność lub uzupełnienie jej o odpowiednią funkcjonalność, wybór zabezpieczeń organizacyjnych i technicznych,

7 opracowanie dokumentacji, zatwierdzenie dokumentacji, rejestracja zbioru, szkolenie użytkowników, monitorowanie i przeglądy systemu. W praktyce oczywiście kroki te mogą się nakładać na siebie i powtarzać a wszystkie razem tworzą cykl, który powinien być okresowo powtarzany przy okazji przeglądów systemu i jego aktualizacji. Dla przypomnienia: zbiory danych niewrażliwych można przetwarzać od momentu zgłoszenia do rejestracji, o ile taki obowiązek istnieje. Zbiory danych wrażliwych, które podlegają obowiązkowi rejestracji, można przetwarzać po ich zarejestrowaniu przez GIODO. W każdym przypadku, również gdy nie zachodzi potrzeba rejestracji, przy przetwarzaniu danych osobowych należy zapewnić ich ochronę a więc środki ochrony (organizacyjne i techniczne) powinny być wdrożone przed rozpoczęciem przetwarzania danych (w tym zbierania danych). Poziom środków technicznych i organizacyjnych Wymagania określone przez ustawę oraz rozporządzenie można zgrupować w 3 obszarach: - wymagania w sferze zabezpieczeń organizacyjnych - wymagania w sferze zabezpieczeń infrastruktury informatycznej - wymagania w sferze funkcjonalności aplikacji stosowanych do przetwarzania danych osobowych Ustawa i rozporządzenie określają podstawowe wymagania w tych 3 obszarach ale administrator nie może automatycznie uznać, że w jego przypadku te minimalne wymagania są wystarczające dla zabezpieczenia przetwarzanych danych osobowych - choć w praktyce takie podejście przeważa. Wyobrażenie o potencjalnych środkach organizacyjnych i technicznych daje lista dostępna w aplikacji e-giodo (dostępna w trakcie wypełniania wniosku). Środki organizacyjne i zabezpieczenia infrastruktury informatycznej Ustawa o ochronie danych osobowych wymaga podjęcia szeregu kroków niezależnie od ilości i rodzaju przetwarzanych danych osobowych. Są to m.in. opracowanie dokumentacji systemu ochrony danych osobowych, wyznaczenie ABI, wydanie upoważnień osobom przetwarzającym dane osobowe, prowadzenie ewidencji wydanych upoważnień, wyznaczenie obszarów przetwarzania danych, wydanie zgody na przebywania w obszarach przetwarzania danych osób nieupoważnionych do przetwarzania danych pod nieobecność osób upoważnionych (o ile zachodzi taka potrzeba). Przy wyznaczeniu ABI należy określić zakres jego obowiązków, gdyż ustawowy zapis o roli ABI jest bardzo ogólnikowy. Przy wydawaniu upoważnień należy z kolei pamiętać o pobraniu pokwitowania otrzymania upoważnienia przez upoważnianych pracowników. Upoważnienia powinien wydać dyrektor biblioteki, reprezentujący administratora danych. Prowadzenie ewidencji upoważnień jest natomiast najczęściej w rękach ABI. Należy pamiętać, że wśród osób upoważnionych powinny znaleźć się osoby, które mogą mieć dostęp do danych mimo, iż nie jest to przewidziane w ich codziennych czynnościach. Takimi osobami są np. administratorzy systemów informatycznych, przedstawiciele dostawców oprogramowania. Jeżeli, tak jak to ma często miejsce, biblioteka zatrudnia do obsługi systemów

8 informatycznych firmę zewnętrzną to można albo upoważnić wskazane przez tę firmę osoby albo podpisać z firmą umowę o powierzenia przetwarzania danych osobowych, w której to sytuacji na tę firmę spadnie obowiązek wydania upoważnień (dla biblioteki istotne będzie natomiast aby istniał mechanizm zapobiegający dopuszczeniu do administrowania systemem osobę niebędącą w rzeczywistości pracownikiem wybranej firmy). W sytuacji powierzenia przetwarzania danych osobowych biblioteka powinna określić cel i zakres w jakim dane mogą być przetwarzane przez kontrahenta oraz zachować sobie prawo do kontroli czy kontrahent realizuje obowiązki wynikające z ustawy (m.in. wyznaczenie ABI, upoważnienie osób wyznaczonych do prowadzenia prac konserwacyjnych lub administrowania systemami). Wśród zabezpieczeń infrastruktury informatycznej wymienić można: kontrolę dostępu do danych, w tym uwierzytelnienie użytkowników (może być realizowane w aplikacji), przy czym w przypadku poziomu wysokiego (patrz niżej) niezbędne jest kryptograficzne zabezpieczenie danych uwierzytelniających przesyłanych w sieci publicznej nadzór nad nośnikami wykonywanie kopii zapasowych danych i programów służących do ich przetwarzania zabezpieczenia przez awariami zasilania ochronę przed wirusami komputerowymi i innym niepożądanym oprogramowaniem, ochronę kryptograficzna danych na komputerach przenośnych ochronę poufności i integralności na nośnikach i urządzeniach poza obszarem przetwarzania danych (przy poziomie podwyższonym) usuwanie danych z nośników wycofywanych z użytku, przekazywanych innemu podmiotowi lub oddawanych do naprawy ochronę przed nieuprawnionym dostępem z sieci publicznej (w przypadku wysokiego poziomu): kontrola przepływu informacji oraz kontrola działań inicjowanych z sieci publicznej i z systemu informatycznego administratora Część tych wymagań może być realizowana w aplikacji, część w systemie operacyjnym a część przez specjalizowane oprogramowanie lub urządzenia. Wymagany poziom zabezpieczeń jest wybierany spośród 3 określonych w rozporządzeniu poziomów w zależności od tego czy system połączony jest z siecią publiczną (co oznacza wymóg stosowania wysokiego poziomu zabezpieczeń) a jeśli nie jest, to od tego, czy w systemie są przetwarzane dane wrażliwe (podwyższony) czy nie (podstawowy). Jeśli chodzi o wymóg zabezpieczenia danych uwierzytelniających to wydaje się on sformułowany niefortunnie - należy zadbać również o podobne zabezpieczenie wszystkich danych osobowych przesyłanych przez sieć publiczną, a dane uwierzytelniające należy chronić we wskazany sposób również w sieciach lokalnych. Na szczęście większość nowoczesnych systemów realizuje ten wymóg w odniesieniu do tych danych a zabezpieczenie danych osobowych jest również łatwe do osiągnięcia. Jednak tam, gdzie stosuje się techniki kryptograficzne należy zapewnić przemyślane i systematyczne podejście do zarządzania kluczami kryptograficznymi. Wykonywanie kopii zapasowych oprogramowania ma służyć umożliwieniu odtworzenia systemu po ewentualnej awarii wraz z ustaloną konfiguracją aplikacji służących do przetwarzania danych osobowych i w ustalonych wersjach tych aplikacji, tak aby ewentualne różnice w konfiguracji lub wersji oprogramowania nie doprowadziły do utraty spójności lub integralności zbiorów danych. Zaleca się wykonywać taką kopię po każdorazowej aktualizacji aplikacji lub zmianie konfiguracji i stosować do tego osobne nośniki niż dla kopii zapasowych zbioru. Dobrym rozwiązaniem jest wykonywanie kopii obrazów dysków, co upraszcza i przyspiesza odtwarzanie w razie awarii. Nośniki kopii zapasowych należy oczywiście nadzorować i przechowywać w zabezpieczonych

9 miejscach, o ile to możliwe poza główną lokalizacją. Gdyby to nie było możliwe zalecane jest stosowanie ogniotrwałych sejfów na nośniki magnetyczne ale jest to duży wydatek. Warto również zwrócić uwagę na dopuszczalną krotność zapisów na nośnikach oraz warunki środowiskowe przechowywania nośników. Wymagana funkcjonalność systemów informatycznych służących do przetwarzania danych osobowych Funkcjonalność aplikacji służących do przetwarzania danych osobowych wynika przede wszystkim z przepisów rozporządzenia ale wymagania stawiane dostawcom tych aplikacji powinny być nieco szersze niż to co zapisane jest w przepisach, aby w pełni wywiązać się z obowiązków administratora danych. Elementy funkcjonalności wynikające z rozporządzenia to: odnotowanie daty pierwszego wprowadzenia danych czytelnika do systemu, odnotowanie użytkownika (bibliotekarza), który wprowadził dane czytelnika (chyba, że system informatyczny obsługiwany jest wyłącznie przez jedną osobę), możliwość odnotowania informacji o źródle danych (w przypadku zbierania danych nie od osoby, której dane dotyczą); warto przy tym wprowadzić zasadę, że nie zostawia się tego pola pustego nawet jeżeli dane pochodzą od osoby której dotyczą, możliwość odnotowania informacji o udostępnianiu danych (odbiorca, data i zakres udostępnienia) - tego wymagania nie trzeba realizować w systemach przetwarzających dane zawarte w zbiorach jawnych; w tym miejscu warto również odnotowywać informacje o przekazaniu danych np. do podmiotu któremu powierzono przetwarzanie danych; należy odnotowywać udostępnienia do zbioru (z art. 23) i nie do zbioru (z art. 29), możliwość odnotowania sprzeciwu z art. 32 ust. 1 pkt 8, czyli sprzeciwu wobec przetwarzania danych w celach marketingowych (jeżeli przetwarzanie następuje z art. 23 ust. 1 pkt 4 lub 5) lub wobec udostępniania danych innemu administratorowi, możliwość prezentacji i wydruku raportu zawierającego ww. informacje w powszechnie zrozumiałej formie, dla każdej osoby której dane są przetwarzane, przy czym wymagane jest aby pierwsze dwa elementy były realizowane automatycznie przez system po zatwierdzeniu operacji wprowadzania danych. Jeśli dane przetwarzane są w więcej niż jednym systemie informatycznym, informacje o udostępnieniach mogą być odnotowywane w jednym z tych systemów lub w osobnym systemie służącym do tego celu. Dodatkowo rozporządzenie nakazuje dołączenie do dokumentacji systemu (polityki bezpieczeństwa) opisu struktur danych, przechowujących dane osobowe, co w większości przypadków wymaga współpracy producenta oprogramowania. Jeżeli system nadaje osobom numery identyfikujące wówczas trzeba wyraźnie określić jakie znaczenie mają elementy tych numerów. Wymagania o automatycznym odnotowaniu daty i identyfikatora osoby wprowadzającej dane po raz pierwszy do systemu stanowią formę zapewnienia tzw. rozliczalności działań. Dobre praktyki w dziedzinie ochrony informacji zalecają zapewnienie rozliczalności w szerszym zakresie, a więc umożliwienie zidentyfikowania daty i źródła (osoby) każdej zmiany chronionych danych oraz automatyczne odnotowanie udostępnienia w każdym wyselekcjonowanym do eksportu (udostępnienia) rekordzie w przypadku gdy eksportowane jest wiele rekordów na raz.

10 Niezależnie od wymagań określonych w rozporządzeniu, ustawa sama w sobie stawia pewne wymagania, które powinny być odzwierciedlone w funkcjonalności systemu informatycznego, między innymi: możliwość sporządzenia raportu dla osoby, której dane dotyczą, zawierającego pełną treść przetwarzanych danych jej dotyczących - oczywiście powinna to realizować stosowana aplikacja, przy czym można odnotowywać datę sporządzenia ostatniego takiego raportu w celu ograniczenia częstości takich żądań do jednego na 6 miesięcy, możliwość usunięcia danych z pozostawieniem wyłącznie imienia, nazwiska i PESEL-u lub adresu, oraz zaznaczenia, że osoba zażądała zaprzestania przetwarzania jej danych (jeżeli przetwarzanie następuje na podstawie art. 23 ust. 1 pkt 4 lub 5); GIODO zaleca, aby usuwanie danych osobowych w każdym przypadku odbywało się w sposób uniemożliwiający ich późniejsze, łatwe odtworzenie niewystarczające jest ich przenoszenie do innego katalogu lub oznakowanie znacznikiem usunięte, powinny zostać fizycznie zamazane tak, aby nie można było ich odzyskać z poziomu aplikacji lub systemu operacyjnego, w celu zapewnienia dokładności informacji o udostępnieniach danych (co jest wymagane przez rozporządzenie) wskazane jest, aby te informacje nie były przechowywane w polach typu "uwagi", w których użytkownicy (bibliotekarze) wpisują notatki, lecz aby były to pola bez możliwości przypadkowego skasowania wcześniejszych zapisów. Co więcej, w idealnym systemie powinna istnieć możliwość zidentyfikowania (wyliczenia) tych podmiotów, którym udostępniono pole danych, którego wartość została następnie poprawiona lub zaktualizowana. Z punktu widzenia biblioteki jako klienta korzystne byłoby również uzyskanie od dostawców aplikacji deklaracji zgodności programu z ustawą o ochronie danych osobowych oraz, w ramach gwarancji a później serwisu, zobowiązania się producentów do wprowadzania zmian odzwierciedlających ew. zmiany w tej materii. Obsługa czytelników Obsługa czytelników to podstawowe zadanie biblioteki a podstawowym narzędziem realizacji tego zadania jest spis czytelników oraz przyporządkowanie czytelnikom wypożyczonych książek lub zasobów. Trzeba pamiętać, iż oprócz zapisów w komputerowej bazie danych biblioteki nadal będą przechowywać tzw. zobowiązania czytelników. Jak wygląda obsługa czytelników (zapisy, wypożyczenia i zwroty) z punktu widzenia ustawy o ochronie danych osobowych? Jak wspomniano, przesłanką legalizującą przetwarzanie danych czytelników (w zakresie adekwatnym do realizacji zadania ochrony wypożyczanych zbiorów) jest realizacja uprawnienia lub obowiązku wynikającego z przepisu prawa. Nie jest wskazane, a wręcz źle widziane przez GIODO występowanie do czytelnika o zgodę na przetwarzanie jego danych osobowych, dla których istnieje inna przesłanka legalizująca ich przetwarzanie. Wystarczy podpis akceptujący regulamin biblioteki i deklarujący chęć korzystania z biblioteki. Jeżeli natomiast zbierane dane mają służyć do innych celów (np. adres poczty elektronicznej do powiadamiania o imprezach) to należy znaleźć inną przesłankę legalizującą przetwarzanie (np. zgoda czytelnika). Należy pamiętać o dopełnieniu obowiązku informacyjnego wobec czytelnika, co może być zrealizowane przez odpowiedni punkt w regulaminie biblioteki, ogłoszenie w miejscu obsługi zapisującego się czytelnika lub, co wydaje się korzystniejsze, zamieszczenie stosownego komunikatu na podpisywanej przez czytelnika karcie zobowiązania. Zgoda na przetwarzanie danych osobowych jest natomiast wskazana przy zbieraniu danych osób upoważnionych do korzystania z czyjegoś konta - po pierwsze brak innej przesłanki do przetwarzania danych tych osób, ponadto, gdy są one zbierane od właściciela konta (a więc nie od osoby, której dotyczą) wówczas należy spełnić tzw. wtórny obowiązek informacyjny - obie te powinności można załatwić równocześnie za pomocą formularza, na którym osoba upoważniona

11 udzieli zgody na przetwarzanie jej danych osobowych a jednocześnie będzie poinformowana o administratorze danych, celu przetwarzania itd. zgodnie z wymogami ustawy. Zazwyczaj osoba taka jest rejestrowana w bazie czytelników jako regularny czytelnik ze wskazaniem na nią w rekordzie osoby, do której konta zyskuje upoważnienie. Nic nie stoi na przeszkodzie, a w zasadzie byłoby właściwe, aby osoby upoważnione wyróżniać w systemie w szczególny sposób, szczególnie jeżeli z racji upoważnienia mają inne, być może mniejsze uprawnienia niż regularni użytkownicy. Struktury danych w systemie obsługi czytelników powinny być zaprojektowane tak, aby uwzględniać te przypadki m.in. po to, aby łatwo było zrealizować obowiązek informacyjny na żądanie osoby upoważnionej (art. 32 ustawy, w tym celu trzeba odnaleźć jej dane) oraz zapewnić możliwość usunięcia jej danych w przypadku wycofania udzielonej zgody. Jeżeli biblioteka ma podległe filie lub oddziały, ew. punkty biblioteczne, to zalecane jest traktowanie danych czytelników przechowywanych w tych placówkach jako podzbiorów głównego zbioru czytelników biblioteki. To wydaje się naturalne w przypadku scentralizowanego systemu bibliotecznego, ale w placówkach nadal pozostają zobowiązania czytelników, które trzeba traktować jako część zbioru danych czytelników (a więc zbiór będzie rozproszony), a w przypadku starszych systemów bibliotecznych również bazy czytelników są rozproszone, co nie przeszkadza w traktowaniu ich jako części głównego zbioru. Jeśli chodzi o zakres przetwarzanych danych to warto zwrócić uwagę na to, iż zgodnie z ustawą, za dane osobowe uważa się wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby a więc w bibliotekach będą to również informacje o wypożyczonych lub zarezerwowanych do wypożyczenia książkach. W niektórych systemach może istnieć wybór między przechowywaniem całej historii wypożyczeń lub tylko bieżących wypożyczeń. Ten wybór rzutuje m.in. na zakres raportu, który sporządzić należy na wniosek czytelnika powołujący się na art. 32 ust. 1 pkt 3 ustawy. Pamiętać też trzeba, że historia wypożyczeń powiązana z czytelnikami może zwiększać atrakcyjność bazy czytelników dla potencjalnych złodziei danych. Warto też ustalić okres czasu przez jaki dane osobowe czytelników są przechowywane mając na względzie 2 sytuacje: zaprzestanie przez czytelnika z korzystania z biblioteki bez deklarowania takich intencji bibliotece oraz wypisanie się osoby na własną prośbę z grona czytelników. Zastosowanie ma tu jedna z ważniejszych zasad przetwarzania danych, zawarta w art. 26 ust. 1 ustawy: Administrator... w szczególności jest obowiązany zapewnić, aby dane te były:... 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania W pierwszym przypadku okres ten powinien być tak dobrany aby nie powodować niepotrzebnego wypisywania i zapisywania czytelnika robiącego dłuższą przerwę w korzystaniu z biblioteki. Wydaje się, że stosowane okresy 5 lat od daty ostatniego wypożyczenia (zwrotu) są pod tym względem akceptowalne. W drugim przypadku należy ustalić okres biorąc pod uwagę ewentualne powiązanie czytelnika np. z zapisami w dziennikach zdarzeń systemów informatycznych i możliwością wszczęcia dochodzenia wykorzystującego te dzienniki przez pełen okres ich przechowywania (który też powinien być ustalony i ograniczony), jeżeli czytelnicy z takich systemów korzystają a ich działania w tych systemach są identyfikowane poprzez odwołanie do zbioru czytelników. Obsługa czytelników przez internet Coraz więcej systemów pozwala na zdalny dostęp użytkowników do katalogu książek, do informacji o stanie własnego konta i do usług rezerwacji książek przez internet. Jak traktować tego

12 rodzaju dostęp? Czy osoby takie są użytkownikami systemu? Jeśli tak, to czy muszą mieć upoważnienia wydane przez administratora i zmieniać co 30 dni hasło? Najlepszym jak się wydaje rozwiązaniem byłoby ograniczyć informacje widoczne po zalogowaniu się do systemu do informacji nie stanowiących danych osobowych. Problemem w takich systemach jest bowiem najczęściej słabość haseł używanych przez czytelników i brak akceptacji użytkowników do stosowania dłuższych i częściej zmiennych haseł, co powoduje że prawdopodobieństwo skutecznego zalogowania się na czyjeś konto jest niepomijalne. W takim przypadku administrator danych mógłby narazić się na zarzut udostępnienia danych osobie nieupoważnionej co zagrożone jest poważnymi konsekwencjami. Zabezpieczeniem przeciw takim zagrożeniom byłby system wykrywania włamań identyfikujący próby nieprawidłowego logowania się do systemu i zapobiegający im. Obsługa publicznego dostępu do internetu Zapewnienie publicznego dostępu do internetu wiąże się na kilka sposobów z ochroną danych osobowych. Po pierwsze, planując taką usługę należy zadbać aby oddzielić przeznaczone do tego komputery od komputerów służących do przetwarzania innych zbiorów danych osobowych, takich jak zbiory czytelników lub zbiory pracowników. Po drugie trzeba liczyć się z tym, że osoby które przychodzą korzystać z tych komputerów mogą nieświadomie zostawić na nich dane osobowe swoje lub innych osób (oprócz danych osobowych mogą to być również inne cenne dane - np. hasła dostępu do serwisów bankowych lub numery kart kredytowych). Aby zapobiec ujawnieniu tych danych, co mogłoby wiązać się z zarzutami wobec biblioteki, można i warto stosować narzędzia, które kasują zawartość pozostawioną przez użytkownika i przywracają oryginalną konfigurację przed udostępnieniem komputera następnej osobie. Przykładem takiego darmowego programowego narzędzia jest Microsoft Shared Computer Toolkit ale nie brakuje też innych, programowych lub sprzętowych. Mimo ryzyka, że na tych komputerach pojawią się dane osobowe wprowadzone przez użytkowników, dopóki użytkownikami są osoby fizyczne można nie stosować wobec tych systemów wymagań zapisanych w rozporządzeniu i ustawie. Dla uzasadnienia takiego stanowiska można przywołać sprawę opisaną w sprawozdaniu GIODO za rok 2005: Podczas jednej z kontroli odnotowano sytuacje, w której dane osobowe przetwarzane były z wykorzystaniem tego samego serwera i przy użyciu tego samego systemu informatycznego, zarówno przez osoby fizyczne do celów osobistych, jak również przez podmioty gospodarcze w celach służbowych. Co więcej, serwer i system informatyczny udostępniany był przez podmiot trzeci. W sytuacji tej uznano, że administratorem danych są podmioty wykorzystujące udostępnione im środki techniczne, ponieważ to one decydują w takich przypadkach o celach i środkach przetwarzania danych, a nie podmiot udostępniający system informatyczny. Zauważyć należy jednak, że administrator danych decydujący sie na wykorzystanie udostępnionej przez inny podmiot infrastruktury informatycznej powinien pamiętać o tym, że wybierany przez niego system informatyczny musi spełniać wymagania ustawy. Z kolei, na podstawie art. 3a ust.1 pkt1, uznano również, że wymagania te nie musza być spełnione w przypadku, gdy dane przetwarzane są w tym systemie przez osobę fizyczna do celów osobistych. Mamy tu do czynienia z sytuacja, w której zgodność systemu informatycznego z wymaganiami określonymi w ustawie i rozporządzeniu jest lub nie jest wymagana, w zależności od tego, przez kogo system ten będzie wykorzystywany. Zgodność taka formalnie może być bowiem wymaga tylko wtedy, gdy system ten wykorzystywany będzie przez podmioty lub osoby podlegające przepisom ustawy. Prócz spraw wynikających z możliwości pozostawienia danych osobowych na stanowiskach publicznego dostępu do internetu warto też pamiętać o prawidłowym rozwiązaniu kwestii rejestrowania użytkowników tych stanowisk. Z wielu względów może być pożądane legitymowanie

13 i rejestrowanie osób które taki dostęp mają uzyskać. Nie zawsze są to zarejestrowani czytelnicy, co pozwalałoby uniknąć traktowania tego rejestru jako osobnego zbioru danych osobowych. Tworząc taki rejestr w formie papierowej warto pamiętać o 2 rzeczach: nie powinien on pozwolić rejestrującym się osobom na poznanie danych wcześniej zarejestrowanych - wyklucza to więc rozwiązanie typu dziennik do którego użytkownicy sami wpisują swoje dane w kolejnych wierszach. Po drugie, czas przechowywania danych powinien być skorelowany z czasem przechowywania elektronicznych logów aktywności - po tym czasie celowość trzymania rejestru jest wątpliwa. Problemy napotykane przy wdrażaniu systemów ochrony danych osobowych w bibliotekach Oprócz podstawowego problemu jakim jest brak odpowiedniej funkcjonalności w aplikacjach, w procesie wdrażania systemu ochrony danych osobowych w bibliotekach spotyka się również następujące przeszkody: wymóg stosowania haseł przez użytkowników-bibliotekarzy jest trudny do zaakceptowania przy stosowanych procedurach pracy w bibliotekach wyposażenie bibliotek stanowią często stare komputery i systemy operacyjne co wymusza stosowanie starych wersji aplikacji; stare systemy operacyjne, poza niższym wbudowanym poziomem bezpieczeństwa (brak separacji użytkowników i procesów, brak bezpiecznych mechanizmów ochrony haseł i uwierzytelnienia, bezpiecznego przechowywania logów), często nie są już wspierane przez producentów co skutkuje brakiem aktualizacji bezpieczeństwa a to sprzyja próbom nieuprawnionego dostępu, propagacji wirusów komputerowych itp. brak regularnej aktualizacji systemów operacyjnych i aplikacji oraz oprogramowania antywirusowego brak prawidłowego postępowania z kopiami zapasowymi i archiwalnymi (brak kopii konfiguracji oprogramowania, brak rotacji nośników) oraz brak ewidencji i nadzoru nad nośnikami (dyskami twardymi i taśmami) brak dostatecznych środków fizycznej ochrony serwerów i stanowisk komputerowych (brak wydzielonych pomieszczeń na serwery) brak egzekwowania zmiany haseł i utrzymania poufności haseł stosowanie domyślnych ustawień zabezpieczeń w serwerach, stacjach roboczych i urządzeniach sieciowych brak nadzoru nad administratorami systemów informatycznych (brak dostatecznej wiedzy po stronie ABI), brak planowania na wypadek ich niedostępności brak zarządzania kluczami kryptograficznymi brak zakazu zabierania danych do domu i brak technicznych możliwości egzekwowania takiego zakazu brak ograniczenia uprawnień użytkowników (bibliotekarzy) brak polityki postępowania z logami, w szczególności z logami ze stanowisk internetowych brak dostatecznie silnego usytuowania ABI w jednostce organizacyjnej, pozwalającego eliminować dostrzeżone i utrwalone nieprawidłowości oraz prowadzić działania zapobiegawcze np. przeglądy systemu ochrony danych osobowych brak systemu rejestrowania, wyjaśniania i analizy przyczyn incydentów, co pozwala doskonalić system ochrony danych osobowych Zakończenie Czy dane w bibliotekach są na tyle cenne aby uzasadniać wdrażanie zabezpieczeń? Powracając do wyliczeń i rozważań podanych na wstępie można uznać za prawdopodobne występowanie w niektórych bibliotekach publicznych zbiorów danych czytelników liczących dziesiątki tysięcy osób. Zakładając, że oprócz podstawowych danych jakimi są imię, nazwisko, adres, adres poczty

14 elektronicznej, numer PESEL, w zbiorze przetwarzane są również informacje o kategorii wiekowej i kategorii zatrudnienia (w odpowiedzi na wymagania wynikające z przepisów o statystyce publicznej) oraz informacje o wypożyczeniach, w tym o historii tych wypożyczeń, atrakcyjność takiego zbioru dla osób zainteresowanych dotarciem do klienta z precyzyjnie wybraną reklamą towaru (np. książki ale niekoniecznie) może być znaczna. W takiej sytuacji celowe staje się przedsięwzięcie skutecznych kroków w celu ograniczenia ryzyka udostępnienia takich danych osobom nieupoważnionym. Do takich przedsięwzięć należy zarówno staranny projekt struktury zbiorów (unikanie wiązania danych gromadzonych na potrzeby statystyki z danymi osobowymi, usuwanie informacji o wypożyczeniach po zwrocie wypożyczonych materiałów), stosowanie skutecznych środków organizacyjnych i technicznych wynikających z ustawy o ochronie danych osobowych jak i ujęcie tych środków w ramy systemu pozwalającego na efektywne zarządzanie nimi i adaptowanie do zmieniających się sytuacji i zagrożeń. Należy również pamiętać że omówione w niniejszym artykule zbiory czytelników nie są jedynymi zbiorami danych osobowych w bibliotekach publicznych. Wśród innych takich zbiorów na pewno jest zbiór danych pracowników, przetwarzany w postaci tradycyjnej w formie akt osobowych ale najczęściej również w postaci elektronicznej w systemach kadrowo-płacowych. Nie są rzadkim przypadkiem tzw. czarne listy czytelników, przetwarzane poza głównym zbiorem (tak aby nie dopuścić do zarejestrowania się tej osoby), mogą się zdarzać też listy osób fizycznych darczyńców, uczestników i laureatów konkursów organizowanych przez biblioteki a także listy osób niebędących czytelnikami ale zainteresowanych udziałem w imprezach kulturalnych organizowanych przez biblioteki. W tych wszystkich przypadkach (poza zbiorami pracowników) należy rozważyć starannie podstawę prawną oraz obowiązek rejestracji zbioru. Nietrywialnym może okazać się przypadek sporządzenia przez bibliotekę (elektronicznego lub tradycyjnego) katalogu biografii autorów książek, gdyż pewne informacje zamieszczone w takim zbiorze mogą być potraktowane jako dane osobowe gdy dotyczą powszechnie rozpoznawanej osoby autora, a jednocześnie należy pamiętać, iż ustawa nie pozwala na przetwarzanie danych osobowych tylko na tej podstawie, że są publicznie znane (np. opublikowane w notach biograficznych książek lub na stronach internetowych współczesnych autorów), choć paradoksalnie jest to możliwe w przypadku danych wrażliwych opublikowanych przez osobę której dotyczą. W przypadku małych bibliotek stojących przed wyzwaniami wynikającymi z ochrony danych osobowych korzystne wydaje się wykorzystanie współpracy w ramach sieci bibliotecznej i środowisk bibliotekarskich. Przykładami takich działań są wypracowanie wspólnego szablonu i wytycznych do wypełniania wniosków rejestracyjnych (szczególnie pól dot. przesłanki legalizującej przetwarzanie), utworzenie forum wymiany informacji nt. zgodności aplikacji z wymogami ustawy oraz utworzenie sieci współpracy bibliotecznych ABI. Warto również wymieniać się informacjami i doświadczeniami nt. bezpłatnych programów do zabezpieczania sieci, jakich wiele jest dostępnych w internecie. Źródła [1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [2] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych [3] Ustawa z dnia 27 czerwca 1997 r. o bibliotekach [4] Ustawa z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej [5] Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej [6] Sprawozdania z działalności GIODO, [7] Rejestr zbiorów danych osobowych, [8] Biblioteki publiczne w liczbach, dane z raportu Program operacyjny "Promocja czytelnictwa" [9] L. Biliński, "Biblioteki a zarejestrowanie zbiorów danych osobowych. Oskarżenia przeciw bibliotekom", Bibliotekarz nr 1/2002, str

15 [10] Mały rocznik statystyczny [11] Raport o stanie automatyzacji bibliotek publicznych, Raport%20o%20%20%20%20stanie%20automatyzacji%20bibliotek%20publicznych% prez.pdf [12] Polskie programy biblioteczne dla małych i średnich bibliotek publicznych. Raport 2002; w: Komputeryzacja i informacja elektroniczna w bibliotekach publicznych, red. E. Górska. Warszawa, S [13] Suplement do raportu o polskich programach bibliotecznych [14] ISO/IEC Security techniques Information Security Management Systems Requirements. Załącznik nr 1 Poniżej wymieniono wybrane zmiany w przepisach, a mianowicie takie, które mogą powodować konieczność dokonania zmian w tych systemach ochrony danych osobowych, które nie były od dłuższego czasu aktualizowane. Nie jest zagwarantowana kompletność ani bezbłędność tej listy. Zmiany pomiędzy 1997 i 2002 rokiem 1. (art. 6) zmieniono definicję danych osobowych: z "informacji dotyczącej osoby fizycznej, pozwalającej na określenie tożsamości tej osoby" na "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej", dodając wyjaśnienie pojęcia identyfikacji lub możliwości identyfikacji 2. (art. 24 ust. 2) dodano nowy przypadek pozwalający na pominięcie obowiązku informacyjnego - jeżeli osoba posiada już informacje o których mowa 3. (art. 25 ust. 2) dodano 2 nowe przypadki zwolnienia z tzw. wtórnego obowiązku informacyjnego - dane są przetwarzane na podstawie przepisów prawa przez administratorów będących organami państwowymi lub samorządowymi, jednostkami organizacyjnymi państwowymi lub komunalnymi lub podmiotami realizującymi zadania publiczne - osoba której dane dotyczą posiada już informacje o których mowa 4. (art. 27 i art. 28) rozszerzono katalog danych wrażliwych o informacje o skazaniach, jednocześnie usuwając przepis szczególny dla tego przypadku 5. (art. 32) zezwolono na pozostawienie w zbiorach imienia, nazwiska i numeru PESEL lub adresu w celu uniknięcia powtórnego użycia danych objętych sprzeciwem 6. (art. 35) wprowadzono obowiązek propagowania zmian w przetwarzanych danych osobowych do administratorów którym te dane przekazano 7. (art. 36) rozszerzono katalog zagrożeń o przetwarzanie z naruszeniem ustawy, zmianę lub utratę 8. (art. 41) rozszerzono zakres informacji we wniosku rejestracyjnym o: - informacje o odbiorcach lub kategoriach odbiorców - informacje o ew. przekazywaniu za granicę Zmiany pomiędzy 2002 i 2004 rokiem 1. (art. 2 ust. 2) zmieniono przedmiotowy zakres obowiązywania ustawy - uściślono że zakres obejmuje przetwarzanie danych w systemach informatycznych również poza zbiorami danych 2. (art. 14) zezwolono inspektorom w trakcie kontroli na wstęp do pomieszczeń w których przetwarza się dane osobowe poza zbiorem 3. (art. 15 ust. 1) przeredagowano zapis mówiący o obowiązkach administratora danych wobec kontrolerów 4. (art. 23) zmieniono brzmienie m.in. 2. przesłanki legalizującej przetwarzanie danych osobowych: - "gdy zezwalają na to przepisy prawa" zastąpiono przez "gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa" 5. (art. 25) zlikwidowano wyłączenie z wtórnego obowiązku informacyjnego dla organów

16 państwowych i samorządowych oraz jednostek organizacyjnych państwowych i komunalnych oraz podmiotów niepaństwowych realizujących zadania publiczne 6. (art. 33 ust. 1) przeredagowano zapis dotyczący udzielania odpowiedzi osobom których dane są przetwarzane, wskazując że odpowiedź powinna zawierać informacje z art. 32 ust. 1 pkt 1-5a 7. przepisami rozdziału 5. objęto zabezpieczenie danych osobowych a nie tylko zbiorów danych osobowych; ponadto: - wprowadzono obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych i środki zabezpieczeń (art. 36 ust. 2) - wprowadzono funkcję administratora bezpieczeństwa informacji (art. 36 ust. 3) - postanowiono że upoważnienia mają być wydawane osobom przetwarzającym dane osobowe a nie obsługującym systemy informatyczne i urządzenia wchodzące w ich skład - co oznacza że upoważnienia są również potrzebne do przetwarzania danych osobowych poza systemami informatycznymi - wcześniej wystarczył wpis do ewidencji (art. 37) - rozciągnięto obowiązek kontroli nad tym jakie dane, kiedy i przez kogo są wprowadzane oraz komu są przekazywane na wszystkie zbiory, nie tylko te prowadzone w systemach informatycznych (art. 38) - określono zakres ewidencji osób upoważnionych (art. 39 ust. 1), zastępując wcześniejszą ewidencję osób zatrudnionych co wiązało się ze stosunkiem pracy - wprowadzono dla osób upoważnionych obowiązek zachowania w tajemnicy sposobów zabezpieczenia danych osobowych, usuwając jednocześnie uwagę o trwaniu tajemnicy po zakończeniu zatrudnienia (art. 39 ust. 2) - wpisano delegację dla MSWiA do wydania rozporządzenia o dokumentacji przetwarzania danych oraz wymaganiach na urządzenia i systemy informatyczne służące do przetwarzania danych (art. 39a) 8. (art. 41 ust. 1) przeredagowano zakres informacji we wniosku rejestracyjnym uwzględniając lub dodając m.in.: - opis kategorii osób których dane są przetwarzane 9. (art. 42 ust. 3. i 4) ograniczono wydawanie zaświadczeń o zarejestrowaniu zbioru tylko do administratorów tych zbiorów, wprowadzając jednocześnie automatyczne wydawanie takich zaświadczeń w przypadku zbiorów danych wrażliwych 10. (art. 43 ust. 1 pkt. 4) rozszerzono zwolnienie z obowiązku rejestracji zbiorów na zbiory osób świadczących administratorowi danych usługi na podstawie umów cywilnoprawnych, ograniczając jednocześnie to zwolnienie do sytuacji przetwarzania danych w związku z zatrudnieniem lub świadczeniem usług 11. (art. 44) wprowadzono możliwość usuwania zbiorów z rejestru w przypadku zaprzestania przetwarzania danych w tym zbiorze lub w przypadku rejestracji z naruszeniem prawa 12.(art. 46) dla zbiorów danych wrażliwych wprowadzono zasadę że przetwarzanie danych może się rozpocząć dopiero po ich zarejestrowaniu przez GIODO Załącznik nr 2 Porównanie cech wybranych programów bibliotecznych z punktu widzenia funkcjonalności wymaganej przez ustawę i rozporządzenie na podstawie odpowiedzi od producentów.

17 odnotowywanie daty wprowadzenia rekordu odnotowywanie identyfikatora bibliotekarza pole do odnotowywania informacji o źródle danych pole do odnotowywania informacji o udostępnieniach pole do odnotowywania informacji o sprzeciwie osobne konta użytkowników wymuszanie przez aplikacje złożoności i częstości zmiany haseł wydruk danych czytelnika w postaci formatki Program nr 1 Program nr 2 Program nr 3 Program nr 4 Program nr 5 TAK TAK TAK TAK TAK NIE TAK TAK NIE, można za pomocą skryptu przepisać login systemowy TAK, "Uwagi" TAK, "Uwagi" TAK, "Uwagi" NIE TAK TAK, "Uwagi" NIE TAK TAK, "Uwagi" NIE TAK TAK, "Uwagi" TAK TAK TAK TAK TAK TAK TAK NIE TAK NIE kasowanie rekordów istnieje możliwość fizycznego skasowania rekordu (a również oznaczenia jako skasowanego) zdalny dostęp czytelników do swoich kont NIE, hasło musi mieć minimum 5 znaków NIE (sprawdzić) NIE NIE TAK TAK TAK TAK TAK jest możliwy fizyczne kasowanie rekordu jest niemożliwy fizyczne kasowanie rekordu Fizyczne kasowanie rekordu jest możliwy Brak informacji Fizyczne zamazywanie pól rekordu, zastępowanie imienia i nazwiska informacją dane usunięte Brak informacji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Przypomnijmy. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych i prawa osób

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo. Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo

Bardziej szczegółowo

Przetwarzanie danych osobowych w przedsiębiorstwie

Przetwarzanie danych osobowych w przedsiębiorstwie Przetwarzanie danych osobowych w przedsiębiorstwie Kwestię przetwarzania danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Danymi osobowymi w rozumieniu niniejszej

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI I. Informacje ogólne 1. Pobierana jest opłata skarbowa uiszczana, gotówką lub bezgotówkowo, za: - wydanie na wniosek administratora

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

CZĘŚĆ A. NAZWA ZBIORU DANYCH.

CZĘŚĆ A. NAZWA ZBIORU DANYCH. CZĘŚĆ A. NAZWA ZBIORU DANYCH. Administrator danych dowolnie określa nazwę zbioru. Zaleca się, aby nazwa zbioru była zwięzła i adekwatna do rodzaju danych przetwarzanych w zbiorze. CZĘŚĆ B. CHARAKTERYSTYKA

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH OCHRONA DANYCH OSOBOWYCH Dane osobowe Wg. Ustawy o ochronie danych osobowych: Dane osobowe każda informacja dotycząca osoby fizycznej pozwalająca na określenie tożsamości tej osoby. Przetwarzanie danych

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNYM ZESPOLE OBSŁUGI PLACÓWEK OŚWIATOWYCH W ŚWIERKLANACH Rozdział I Postanowienia wstępne. Na podstawie 3

Bardziej szczegółowo

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r. ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie

Bardziej szczegółowo

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa*... oznaczenie administratora bezpieczeństwa informacji oraz jego adresu do korespondencji Wystąpienie o dokonanie sprawdzenia

Bardziej szczegółowo

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI Headlines Spółka z ograniczoną odpowiedzialnością i spółka spółka komandytowa szanuje i troszczy się o prawo do prywatności

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI Dz. U. z 2004 r. Nr 100, poz. 1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Bardziej szczegółowo

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA Nowe regulacje dot. Administratora Bezpieczeństwa Informacji (ABI): o kompetencje; o status w hierarchii Administratora danych;

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA Administrator Danych... Imię i nazwisko właściciela firmy Dnia... data wdrożenia w przedsiębiorstwie o nazwie... Nazwa przedsiębiorstwa Zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia

Bardziej szczegółowo

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Zatwierdzony Uchwałą nr 16/11/2015 z dnia 01-08-2015 S P I S TREŚCI I. POLITYKA BEZPIECZEŃSTWA...4 Pojęcia podstawowe...4

Bardziej szczegółowo

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne: OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA W jakich aktach prawnych można znaleźć odpowiedzi na pytania związane z ochroną? źródła prawa; Nowelizacja przepisów z zakresu

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. I Podstawa prawna: 1. Ustawa z dnia 29.08.1997 roku o ochronie danych osobowych

Bardziej szczegółowo

a) po 11 dodaje się 11a 11g w brzmieniu:

a) po 11 dodaje się 11a 11g w brzmieniu: Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator Danych Osobowych PREZYDENT MIASTA SOPOTU Dnia 12 maja

Bardziej szczegółowo

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik nr 2 do Zarządzenia nr 15 Dyrektora Szkoły Podstawowej nr 3 z dnia 17 marca 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Szkole Podstawowej

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne: Kancelaria Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa Tel. +48 22 253 28 18 e-mail: kancelaria@lex-artist.pl OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA W jakich aktach

Bardziej szczegółowo

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej Od Wykazu do Rejestru Zmiany zasad dokumentowania zbiorów danych osobowych Maciej Kołodziej Stowarzyszenie Administratorów Bezpieczeństwa Informacji Agenda 1. Rejestracja zbiorów danych osobowych 2. Wykaz

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne Załącznik nr 1 do Regulaminu KRKH sp. z o.o. POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne Zgodnie z art. 39a ustawy z dnia 29 sierpnia 1997 r.

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) 2 Na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS Michał Sztąberek isecuresp. z o.o. Dwa słowa o osobowych Administrator (ADO) Procesor organ, jednostka organizacyjna, podmiot lub osoba decydująca

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

Przykładowy wykaz zbiorów danych osobowych w przedszkolu Przykładowy wykaz zbiorów danych osobowych w przedszkolu Lp. Nazwa zbioru Pomieszczenie 1. Zbiór 1 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych 2. Zbiór 2 Kontrola wewnętrzna wyniki,

Bardziej szczegółowo

Bezpieczeństwo danych osobowych. www.oferta.novo-szkola.pl. 23 listopada 2011 r.

Bezpieczeństwo danych osobowych. www.oferta.novo-szkola.pl. 23 listopada 2011 r. Bezpieczeństwo danych osobowych www.oferta.novo-szkola.pl 23 listopada 2011 r. Dwa podstawowe akty prawne dotyczą przetwarzania danych osobowych w szkołach AKTY PRAWNE DOT. DANYCH OSOBOWYCH Podstawowe

Bardziej szczegółowo

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien.. Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator

Bardziej szczegółowo

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji Polskie Centrum Kadrowo - Płacowe zaprasza do udziału w szkoleniu pt.: Praktyczny kurs dla Administratora Bezpieczeństwa Informacji - przygotuj się do samodzielnego pełnienia funkcji Celem szkolenia jest

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE Załącznik nr 2 do Zarządzenia nr 34/08 Wójta Gminy Kikół z dnia 2 września 2008 r. w sprawie ochrony danych osobowych w Urzędzie Gminy w Kikole, wprowadzenia dokumentacji przetwarzania danych osobowych

Bardziej szczegółowo

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r. DZIENNIK URZĘDOWY MINISTRA SKARBU PAŃSTWA Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r. w sprawie ochrony danych osobowych w Ministerstwie

Bardziej szczegółowo

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy:

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy: Umowa nr..- /15 o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy:., wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy.. w Poznaniu, VIII Wydział

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

Dane osobowe: Co identyfikuje? Zgoda

Dane osobowe: Co identyfikuje? Zgoda Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Warszawa 2015-07-14 POLITYKA BEZPIECZEŃSTWA INFORMACJI Zgodnie z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182) 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Spis treści:

Bardziej szczegółowo

Profesjonalny Administrator Bezpieczeństwa Informacji

Profesjonalny Administrator Bezpieczeństwa Informacji Polskie Centrum Kadrowo - Płacowe zaprasza do udziału w szkoleniu pt.: Profesjonalny Administrator Bezpieczeństwa Informacji Specjalistyczny kurs dla przyszłych i obecnych ABI Na kurs zapraszamy zarówno

Bardziej szczegółowo

Dokumentacja ochrony danych osobowych w firmie

Dokumentacja ochrony danych osobowych w firmie Dokumentacja ochrony danych osobowych w firmie Obowiązek prowadzenia dokumentacji, o której będzie mowa w niniejszym artykule, spoczywa właściwie na każdym przedsiębiorstwie. Jeśli w toku prowadzonej przez

Bardziej szczegółowo

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia Kancelaria Prawnicza Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa Tel. +48 22 253 28 18 e-mail: kontakt@lex-artist.pl Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Temat Szczegółowe

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w Spółdzielni Mieszkaniowej Cukrownik 1 1. Ochrona danych osobowych w SM Cukrownik ma na celu zapewnienie ochrony prywatności każdemu członkowi

Bardziej szczegółowo

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO Rozdział I 2 INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO Jakie obowiązki spoczywają na doradcach podatkowych w związku z obowiązkiem ochrony danych osobowych? Jak powinna

Bardziej szczegółowo

Polityka Prywatności

Polityka Prywatności Polityka Prywatności 1. Postanowienia ogólne 1. Administrator danych - NetShock.pl sp.j. z siedzibą we Wrocławiu, pl. Solny 14, 50 062 Wrocław, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd

Bardziej szczegółowo

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie REGULAMIN OCHRONY DANYCH OSOBOWYCH określający politykę bezpieczeństwa danych osobowych w stowarzyszeniu Sieć Obywatelska Watchdog Polska (przyjęty uchwałą zarządu nr 1/VIII/2014 z 26.08.2014 r.) 1 Zakres

Bardziej szczegółowo

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH Ochrona Informacji Dane Osobowe Arkadiusz Kostrzewski SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH Rejestracja zbiorów danych osobowych w GIODO krok po kroku Czy muszę rejestrować zbiór? TAK NIE Niestety

Bardziej szczegółowo

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM Rok szkolny 2013/2014 1 Obowiązki Administratorów Systemu Do obowiązków Administratorów

Bardziej szczegółowo

I. PODSTAWY PRAWNE II. CELE GROMADZENIA DANYCH OSOBOWYCH

I. PODSTAWY PRAWNE II. CELE GROMADZENIA DANYCH OSOBOWYCH INSTRUKCJA OKREŚLAJĄCA SPOSÓB ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I RĘCZNYM W ZAKRESIE OCHRONY DANYCH OSOBOWYCH I ICH ZBIORÓW przyjęta do stosowania w Zespole Szkół w Pisarzowej I. PODSTAWY PRAWNE 1. Ustawa

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Załącznik nr 1 do Zarządzenia nr 12/2006 Burmistrza Gminy Kozienice z dnia 29.12.2006 r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Podstawa

Bardziej szczegółowo

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO Załącznik nr 1 do Zarządzenia nr 25/2005 Burmistrza Brzeszcz z dnia 21 czerwca 2005 r. POLITYKA BEZPIECZEŃSTWA URZĘDU GMINY W BRZESZCZACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i

Bardziej szczegółowo

Dane osobowe w data center

Dane osobowe w data center Dane osobowe w data center obowiązki klienta i obowiązki dostawcy Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes

Bardziej szczegółowo

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

Polityka bezpieczeństwa w zakresie ochrony danych osobowych Polityka bezpieczeństwa w zakresie ochrony danych osobowych Polska Fundacja Przeciwko Nepotyzmowi, ul. 11 Listopada 22, 05-070 Sulejówek Data wejścia w życie: 02 lipca 2015 r. 1. Administrator Danych Osobowych

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz

POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz A. Definicje Dla potrzeb niniejszej polityki prywatności znajdują zastosowanie definicje zawarte w pkt. I Regulaminu, programu Karta Klienta Mercedes-Benz

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego Niniejszy załącznik uwzględnia: - zarządzenie (pierwotne) Nr 18/04 Starosty z 28.12.2004 r. - zarządzenie zmieniające Nr 33/09 z 10.12.2009 r. - zarządzenie zmieniające Nr 37/10 z 23.07.2010 r. - zarządzenie

Bardziej szczegółowo

Przetwarzanie danych osobowych w chmurze

Przetwarzanie danych osobowych w chmurze Przetwarzanie danych osobowych w chmurze Obalamy mity Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? Czy organizacja ma obowiązek dbać o swoje bezpieczeństwo? A dlaczego ja mam dbać o te dane, tylko

Bardziej szczegółowo

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły Bezpieczne dane - dobre praktyki w szkole Dyrektor Szkoły DANE UCZNIOWIE RODZICE ABSOLWENCI PRACOWNICY EMERYCI RENCIŚCI KONTRACHENCI INF. BIEŻĄCE KONTROLA ZARZĄDCZA ryzyko ryzyko ryzyko ryzyko ryzyko dostępu

Bardziej szczegółowo

Załącznik nr 7 do SIWZ OP-IV.272.172.2014.PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Załącznik nr 7 do SIWZ OP-IV.272.172.2014.PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych Załącznik nr 7 do SIWZ POROZUMIENIE w sprawie powierzenia przetwarzania danych osobowych zawarta w dniu. 2015 roku, w Lublinie pomiędzy: Województwem Lubelskim, przy ul. Spokojnej 4, 20-074 Lublin reprezentowanym

Bardziej szczegółowo

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO 1. Ilekroć w procedurze jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych

Bardziej szczegółowo

Rejestracja bazy danych w GIODO. Poradnik dla administratorów sklepów w Chmurze Comarch

Rejestracja bazy danych w GIODO. Poradnik dla administratorów sklepów w Chmurze Comarch Rejestracja bazy danych w GIODO Poradnik dla administratorów sklepów w Chmurze Comarch Spis treści 1 OBOWIĄZKI WŁAŚCICIELA SKLEPU INTERNETOWEGO WOBEC GIODO... 3 1.1 ZBIÓR DANYCH OSOBOWYCH W SKLEPIE INTERNETOWYM...

Bardziej szczegółowo

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa Generalny Inspektor Ochrony Danych

Bardziej szczegółowo

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r. Zarządzenie Nr 1/2010 Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej z dnia 05 marca 2010 r. w sprawie ustalania polityki bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej

Bardziej szczegółowo

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,

Bardziej szczegółowo

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r. REKTOR SZKOŁY GŁÓWNEJ HANDLOWEJ w Warszawie RB/56/08 ZARZĄDZENIE NR 22 z dnia 2 lipca 2008 r. w sprawie ochrony danych osobowych i baz danych przetwarzanych tradycyjnie i w systemach informatycznych Szkoły

Bardziej szczegółowo

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku UNIWERSYTET JAGIELLOŃSKI DO-0130/14/2006 Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku w sprawie: ochrony danych osobowych przetwarzanych w Uniwersytecie Jagiellońskim Na

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A JAKIE AKTY PRAWNE REGULUJĄ OCHRONĘ DANYCH W BIBLIOTEKACH? 1. Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. Dz. U.

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU Załącznik Nr 1 Do Zarządzenia Nr 33573/2013 Prezydenta Miasta Radomia Z dnia 14 marca 2013 r. POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING

Bardziej szczegółowo

Zarządzenie Nr 148/2007 Burmistrza Miasta i Gminy Mirsk z dnia 16.08.2007 r.

Zarządzenie Nr 148/2007 Burmistrza Miasta i Gminy Mirsk z dnia 16.08.2007 r. Zarządzenie Nr 148/2007 Burmistrza Miasta i Gminy Mirsk z dnia 16.08.2007 r. w sprawie: wprowadzania zasad realizacji przetwarzania danych osobowych oraz stosowania środków technicznych i organizacyjnych

Bardziej szczegółowo

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo