Informatyzacja bibliotek w świetle ustawy o ochronie danych osobowych. Czy biblioteki przetwarzają dane osobowe czytelników?

Transkrypt

1 Informatyzacja bibliotek w świetle ustawy o ochronie danych osobowych Karol Górski, CISM karol@enigma.com.pl ENIGMA Systemy Ochrony Informacji sp. z o.o. Wstęp Ustawa o ochronie danych osobowych 1 już od prawie 10 lat reguluje zasady przetwarzania danych osobowych, czyli, zgodnie z ustawową definicją, takich danych, które powiązać można z konkretną osobą. Przepisy ustawy stosować należy wszędzie tam, gdzie przetwarza się takie dane, o ile nie ma przepisów szczegółowych, właściwych dla danej branży, a w przypadku gdy są - w zakresie nieuregulowanym przepisami szczegółowymi. Celem niniejszego artykułu jest omówienie zagadnienia ochrony danych osobowych w kontekście systemów informatycznych w bibliotekach publicznych. Czy biblioteki przetwarzają dane osobowe czytelników? Przepisy nie stanowią wprost o dopuszczalności przetwarzania danych osobowych czytelników (użytkowników biblioteki). Wprowadzają jednak obowiązek ochrony materiałów bibliotecznych jako jedno z podstawowych zadań. Obowiązek ten nie mógłby być realizowany bez posiadania wiedzy o osobach, którym materiały biblioteczne są wypożyczane. Z tego zadania wynika więc prawo do przetwarzania danych w zakresie wystarczającym do ochrony zbiorów bibliotecznych, a w praktyce do zapewnienia sobie możliwości zrealizowania uprawnienia określonego w art. 14 ust. 2 pkt 5 ustawy o bibliotekach. Tak więc, jak można przeczytać w sprawozdaniu GIODO za rok 2000: W odpowiedzi na jedno z pytań prawnych Generalny Inspektor uznał, iż biblioteki przetwarzają dane o czytelnikach na podstawie przesłanki określonej w art. 23 ust. 1 pkt 2 ustawy. Na gromadzenie tych informacji zezwalają bowiem przepisy ustawy z dnia 27 czerwca 1997 r. o bibliotekach (Dz. U. Nr 85, poz. 539). Ponieważ przepisy branżowe (ustawa o bibliotekach i ustawa o organizowaniu i prowadzeniu działalności kulturalnej) nie poruszają zagadnienia ochrony danych osobowych więc stosować należy w całej rozciągłości ustawę o ochronie danych osobowych. Trzeba więc również uznać, iż brak jest przesłanek, które zwalniałyby z obowiązku rejestracji zbioru czytelników w przypadku bibliotek publicznych (inna jest sytuacja bibliotek uczelnianych, zakładowych, w zakładach opieki zdrowotnej itp.). Biblioteki publiczne są również zobowiązane do uczestnictwa w badaniach statystycznych. Coroczne sprawozdania składane na drukach K-03 wymagają podania liczby czytelników w podziale na kategorie wiekowe oraz kategorie zatrudnienia. Są to jednak dane zbiorcze, opracowane na podstawie danych jednostkowych, zebranych od czytelników korzystających z biblioteki w 1 W dalszej części artykułu gdy mowa będzie o ustawie (bez dodatkowego określenia) oznaczać to będzie ustawę o ochronie danych osobowych, a gdy mowa będzie o rozporządzeniu oznaczać to będzie rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

2 danym roku kalendarzowym. Z obowiązku składania takich zestawień nie wynika jednak wprost prawo do przetwarzania - a więc również przechowywania - informacji o kategorii zatrudnienia czytelnika (a tym bardzie o zawodzie) po jej uwzględnieniu w zbiorczym podsumowaniu (ustawa wręcz zakazuje takiej praktyki w art. 26 ust. 1 pkt 4) - taka informacja może być zebrana do odrębnego zbioru, nie posiadającego powiązań ze zbiorem danych osobowych czytelników, przy czym taka metoda może być stosowana zarówno tam gdzie proces obsługi czytelników jest skomputeryzowany jak i tam gdzie jest on prowadzony w sposób ręczny. Kolejne pytanie jakie się pojawia dotyczy tego, kto jest odpowiedzialny za prawidłowe przetwarzanie danych osobowych w bibliotece? W myśl ustawy ta odpowiedzialność przypisana jest tzw. administratorowi danych (osobowych), czyli podmiotowi który decyduje o celach przetwarzania danych osobowych i środkach do tego stosowanych. W większości przypadków przyjąć można, iż biblioteki publiczne są administratorami przetwarzanych przez siebie danych osobowych, jeżeli działają jako samodzielne jednostki organizacyjne, prowadzące samodzielną gospodarkę finansową. Inna jest sytuacja bibliotek szkolnych, zakładowych lub prowadzonych dla obsługi specjalnych grup użytkowników w zakładach opieki zdrowotnej, zakładach karnych itp. Administratorem danych osobowych jak zostało wspomniane jest podmiot - osoba prawna lub jednostka organizacyjna nie mająca osobowości prawnej. Za prawidłowe wywiązywanie się z obowiązków administratora danych osobowych odpowiadać będzie dyrektor tego podmiotu. Administratora danych osobowych nie należy mylić z administratorem bezpieczeństwa informacji, które to pojęcie również się w ustawie o ochronie danych osobowych pojawia. (Administrator bezpieczeństwa informacji, popularnie określany skrótem ABI, ma nadzorować czy przestrzegane są obowiązujące przepisy: ustawa, rozporządzenia ale również przepisy wewnętrzne - polityka bezpieczeństwa, instrukcje zarządzania systemami informatycznymi itd., dotyczące przetwarzania danych osobowych.) Zbiór danych osobowych czytelników nie jest jedynym zbiorem jaki jest przetwarzany w bibliotekach publicznych. Przepisy ustawy o bibliotekach przewidują, iż biblioteki zatrudniają pracowników a co za tym idzie pełnią rolę pracodawców. Obowiązkiem pracodawców wynikającym z kodeksu pracy jest m.in. gromadzenie dokumentacji pracowniczej w formie tzw. akt osobowych. Zgodnie z obowiązującą wykładnią przepisów o ochronie danych osobowych akta te stanowią zbiory danych osobowych, podlegające ochronie zgodnie z tymi przepisami. Możliwe jest również występowanie innych zbiorów danych osobowych. Jaki jest aktualny stan ochrony danych osobowych w bibliotekach? Poniżej przedstawiono kilka czynników składających się na obraz aktualnej sytuacji bibliotek w kontekście ochrony danych osobowych. Statystyki rejestracji zbiorów i aktualizacji wniosków Z krótkiego przeglądu rejestru zbiorów danych osobowych (dane dostępne w portalu e-giodo) wynika, iż liczba zarejestrowanych przez biblioteki zbiorów wynosi ok (wyszukiwanie wg klucza 'biblio' w polu 'nazwa administratora' daje liczbę 2160 zbiorów, wyszukiwanie wg klucza 'czytel' w polu 'nazwa zbioru' daje liczbę 2254 zbiorów), przy czym przeważnie każda biblioteka zarejestrowała 1 zbiór ale bywało też tak, że jedna biblioteka gminna rejestrowała odrębne zbiory dla wszystkich swoich filii. Podana suma zarejestrowanych zbiorów obejmuje również biblioteki pedagogiczne, wojskowe i inne. Te wartości zbieżne są z sumą zbiorów zgłoszonych do rejestracji przez biblioteki, zgłaszanych w latach według rocznych sprawozdań GIODO. (W sprawozdaniach za rok 2004 i 2005 brak informacji o rejestracji zbiorów przez biblioteki).

3 Dane o zgłoszeniach wniosków rejestracyjnych ze sprawozdań GIODO: rok Liczba zgloszeń bd 2005 bd W innym źródle [9] spotkać można liczbę 2615 zgłoszonych przez biblioteki do rejestracji zbiorów, bez wskazania jakie biblioteki obejmuje ta liczba. Tymczasem, według opracowania Biblioteki publiczne w liczbach [8] w roku 2005 samych bibliotek publicznych (bez filii) było Nie można co prawda wykluczyć, że pozostałe biblioteki zostały wchłonięte przez miejskie lub gminne ośrodki kultury bądź inne jednostki organizacyjne i zarejestrowały swoje zbiory pod takimi nazwami w nazwie administratora, jednocześnie nie używając słowa czytelnicy (w różnych odmianach) w nazwie zbioru, jednak wydaje się prawdopodobne że pewna liczba bibliotek publicznych nadal nie dopełniła obowiązku rejestracji zbioru danych osobowych swoich czytelników. Z wyrywkowego przeglądu informacji o aktualizacjach wniosków rejestracyjnych wynika z kolei, iż większość bibliotek posiadających zarejestrowane zbiory nie dokonała aktualizacji związanej z nowelizacją ustawy w 2004 roku (a w bardzo wielu przypadkach - ani jednej aktualizacji od czasu zarejestrowania zbioru) i zmienionymi w efekcie tej nowelizacji wymaganiami na przetwarzanie i zabezpieczenie danych osobowych. Na blisko 200 sprawdzonych bibliotek tylko 5 aktualizowało swoje wnioski po wejściu w życie nowelizacji z 2004 roku. Istnieje duże prawdopodobieństwo, że w większości bibliotek zabrakło również działań wewnątrz-bibliotecznych zmierzających do dostosowania systemów ochrony danych osobowych do zmian w przepisach. W okresie obowiązywania ustawy istniały do tej pory 3 istotnie różniące się wersje: z 1997, z 2002 i z 2004 roku. Zmiany wprowadzone między 1997 a 2002 rokiem w przypadku bibliotek nie powodowały raczej konieczności aktualizacji wniosków rejestracyjnych z wyjątkiem być może rozszerzenia zakresu przetwarzanych danych jako konsekwencji zmiany definicji danych osobowych. Zmiany wprowadzone w roku 2004 były znaczące, szczególnie w warstwie wymaganych środków organizacyjnych i technicznych oraz dokumentacji systemu. Administratorzy danych mieli czas do 1 listopada 2004 na dostosowanie swoich systemów do nowych wymagań i 30 dni od daty wprowadzenia zmian w systemie i zbiorach na zaktualizowanie wniosków rejestracyjnych w przypadku zbiorów podlegających rejestracji. Jakie przepisy uległy zmianie przy nowelizacji? Wyliczenie wybranych zmian w przepisach, szczególnie tych mogących mieć zastosowanie w bibliotekach, znajduje się w załączniku. Należy pamiętać, że bardzo istotnie zmieniło się również rozporządzenie określające warunki organizacyjne i techniczne dla urządzeń i systemów informatycznych służących do przetwarzania danych osobowych.

4 W okresie obowiązywania ustawy nie była przeprowadzona ani jedna kontrola GIODO w bibliotekach publicznych (wg informacji zawartych w sprawozdaniach GIODO). Statystyki rozmiaru baz danych w bibliotekach Skalę przetwarzania danych osobowych przez biblioteki publiczne mogą zilustrować dane statystyczne z małego rocznika statystycznego [10]. W 2004 roku na ok. 8,7 tys. bibliotek publicznych i ich filii ok. 5,7 tys. znajdowało się na wsi a 3,1 tys. w miastach. Biblioteki wiejskie obsługiwały ok. 1,9 mln czytelników, miejskie - ok. 5,6 mln czytelników. Średnia liczba czytelników na pojedynczą bibliotekę lub filię wynosiła więc ok. 330 na wsi i 1800 w miastach, przy czym w sytuacji gdy zbiory są scentralizowane, a tak często jest w systemach informatycznych obsługujących szczególnie większe biblioteki, w pojedynczym miejscu przetwarzane będą zbiory wielokrotnie liczniejsze, liczące być może po kilkadziesiąt tysięcy rekordów. Statystyki komputeryzacji bibliotek Od roku 2000 do roku 2004 znacząco wzrosła liczba skomputeryzowanych lub komputeryzujących się placówek bibliotecznych - z 9% do 25%. Z tego tylko 3,4% placówek było w 2004 roku skomputeryzowanych w pełni (ok. 8% placówek w miastach i 0,64% placówek na wsi). Łączna liczba instalacji systemów bibliotecznych wynosiła w 2004 roku 1599 placówek. Dane te pochodzą z opracowania [11]. Co pocieszające, na liście przeszkód w procesie komputeryzacji bibliotek, zamieszczonej w powyższym opracowaniu, nie figuruje problem ochrony danych osobowych i dostosowania bibliotek do wymagań przepisów o ochronie danych osobowych. Spełnianie wymogów ustawy przez systemy informatyczne do obsługi bibliotek Liczba systemów informatycznych do obsługi bibliotek jest pokaźna - można się o tym przekonać czytając opracowanie pt. Polskie programy biblioteczne dla małych i średnich bibliotek publicznych [12] i jego suplement z 2004 roku [13]. Lektura tych materiałów raportu prowadzi do wniosku, iż zagadnienia ochrony danych osobowych czytelników nie zostały w tych systemach uwzględnione. Własne doświadczenia oraz wyniki ankiety przeprowadzonej przez autora na potrzeby niniejszego artykułu wśród kilku producentów popularnych systemów informatycznych dla bibliotek pozwalają na obserwację, iż sytuacja ulega powolnej poprawie w tym względzie. Podsumowanie Wydaje się, iż sytuacja jest więc następująca: - biblioteki przetwarzają dane osobowe - temat ochrony danych osobowych znany jest większości bibliotek publicznych - większość wniosków o rejestrację zbiorów danych osobowych czytelników złożono w latach biblioteki w niewielkim stopniu realizowały obowiązek dostosowania wniosków rejestracyjnych do wymagań nowelizowanych przepisów - wydaje się prawdopodobne, iż biblioteki w równie niewielkim stopniu dostosowywały swoje systemy ochrony do zmian w przepisach - postępująca w dość szybkim tempie komputeryzacja bazuje na wielu przypadkach na systemach niespełniających ustawowych wymagań dla systemów przetwarzających dane osobowe Czy warto zmieniać tę sytuację? Czym grozi ignorowanie przepisów o ochronie danych osobowych? Możliwe są: - sankcje karne,

5 - kontrole GIODO i decyzje administracyjne wydawane na skutek kontroli, - procesy cywilne i odszkodowania. Dane dotyczące skazań na podstawie przepisów karnych zawartych w ustawie o ochronie danych osobowych znaleźć można na stronach internetowych Ministerstwa Sprawiedliwości Poniżej w tabelce przedstawiono liczby prawomocnie skazanych osób dorosłych w podziale według roku i przepisu karnego ustawy o ochronie danych osobowych (dane za rok 1998 obejmują okres ): łącznie Art. 49 ust Art. 49 ust Art Art. 51 ust Art. 51 ust Art Art Art Dane dotyczące kontroli i zawiadomień o popełnieniu przestępstwa znajdują się na stronach GIODO ( Jak widać liczba kontroli przeprowadzanych co roku to ok Przeciętnie w połowie przypadków dochodzi do zawiadomienia prokuratury. Skazania były omówione wcześniej. Decyzje administracyjne wydawane przez GIODO w wyniku kontroli mogą zawierać następujące nakazy: - usunięcie uchybień, - uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, - zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, - wstrzymanie przekazywania danych osobowych do państwa trzeciego, - zabezpieczenie danych lub przekazanie ich innym podmiotom, - usunięcie danych osobowych a jeżeli decyzja jest wydawana w czasie trwania postępowania rejestracyjnego to może nakazywać również ograniczenie przetwarzania wszystkich albo niektórych kategorii danych do ich przechowywania. Procesy cywilne o odszkodowanie za szkody w wyniku przetwarzania danych osobowych są trudne do syntetycznego scharakteryzowania pod względem liczby i przyznanych odszkodowań, wiadomo jednak że takie sprawy miały miejsce i kończyły się zasądzeniem odszkodowania. Dotychczasowe doświadczenia wskazują na to, iż biblioteki i ich kierownictwa nie postrzegają powyższych czynników jako dostatecznie poważnych. Być może pora jest więc na pewną zmianę perspektywy patrzenia na przepisy ustawy o ochronie danych osobowych i wykorzystanie jej jako środka pomocnego dla zapewnienia prawidłowego skomputeryzowania biblioteki. W obliczu coraz większego uzależnienia bibliotek od systemów informatycznych, coraz większego uczestnictwa bibliotek w sieci internet i coraz szerszego spektrum elektronicznych usług świadczonych

6 czytelnikom warto potraktować przepisy o ochronie danych osobowych jako punkt wyjścia do wprowadzenia w bibliotekach podstawowych zasad zabezpieczenia systemów informatycznych i informacji w nich zawartych. Przepisy te zawierają bowiem wiele elementów, które należą do tzw. dobrej praktyki w obszarze ochrony informacji i bezpieczeństwa systemów informatycznych i które, jak się wydaje warto rozciągnąć, przynajmniej co do zasady jeśli nie konkretnych środków, na wszystkie systemu informatyczne funkcjonujące w bibliotekach, bez względu na to czy przetwarzają dane osobowe czy nie. Z praktyki można przytoczyć sytuacje, gdy w trakcie wdrażania systemu ochrony danych osobowych wychodziły na jaw takie sprawy jak np. brak kopii zapasowych i archiwalnych danych księgowych. Dodatkową korzyścią z opracowania i wprowadzenia systemu ochrony danych osobowych, szczególnie w bibliotekach wielooddziałowych, może być ujednolicenie a nawet usprawnienie tych procesów, w których następuje przetwarzanie danych czytelników, a więc tych najważniejszych z punktu widzenia klientów biblioteki. Wdrażając system ochrony danych osobowych warto zastosować tzw. procesowe podejście do zarządzania, w tym wypadku zarządzania bezpieczeństwem informacji. Takie podejście, analogiczne do stosowanego w systemach zarządzania jakością, w sferze bezpieczeństwa informacji ujęte jest w normie ISO/IEC (wkrótce powinno pojawić się polskie wydanie tej normy, obecnie dostępna jest wcześniejsza wersja znana jako PN I ). Podejście procesowe jest ukierunkowane na wykrywanie niezgodności, analizowanie ich przyczyn i doskonalenie systemu eliminujące wykryte przyczyny występowania niezgodności. Zakres systemu może być określony przez administratora danych (nie musi obejmować całej jednostki i wszystkich jej zadań). Poziom zabezpieczeń jaki powinien być zastosowany jest natomiast efektem przeprowadzenia analizy ryzyka (centralnego elementu takich systemów). Celem tego działania jest wybranie zabezpieczeń, które odpowiadają celom jednostki oraz zidentyfikowanym zagrożeniom i ich skali. System zarządzania bezpieczeństwem wymusza jednocześnie szereg działań porządkujących funkcjonowanie jednostki (nadzór nad dokumentami i zapisami, okresowe przeglądy systemu). Etapy wdrożenia systemu ochrony danych osobowych W idealnym przypadku system ochrony danych osobowych powinien być wdrożony w momencie rozpoczęcia przetwarzania danych osobowych. W praktyce rozpoczęcie eksploatacji systemu informatycznego wyprzedza często kroki służące zapewnieniu ochrony danych. Powoduje to problemy ze spełnieniem wielu wymagań ustawy. Części z nich można by uniknąć uwzględniając potrzebę ochrony danych osobowych na etapie projektu systemu informatycznego. Takie podejście zmniejsza też ryzyko odrzucenia lub sabotowania narzuconych rozwiązań gdyż pracownicy postrzegają je jako naturalnie związane z nowym systemem. Jeżeli natomiast system funkcjonował poprawnie z ich punktu widzenia bez zabezpieczeń a następnie wprowadza zabezpieczenia i zmusza przez to do działań utrudniających ich pracę lub nawet tylko zmieniających ich nawyki, to naturalny jest opór z ich strony. W proces wdrażania systemu przetwarzającego dane osobowe należy więc włączyć następujące elementy związane z zapewnieniem ochrony danych osobowych w tym systemie: identyfikacja przetwarzanych danych osobowych (zbiorów i zakresów danych), określenie podstawy prawnej dla ich przetwarzania, określenie czy zbiór podlega rejestracji, określenie obszarów przetwarzania danych osobowych, określenie wymaganego poziomu zabezpieczeń, skonfigurowanie aplikacji w taki sposób, aby spełnione były wymagania na funkcjonalność lub uzupełnienie jej o odpowiednią funkcjonalność, wybór zabezpieczeń organizacyjnych i technicznych,

7 opracowanie dokumentacji, zatwierdzenie dokumentacji, rejestracja zbioru, szkolenie użytkowników, monitorowanie i przeglądy systemu. W praktyce oczywiście kroki te mogą się nakładać na siebie i powtarzać a wszystkie razem tworzą cykl, który powinien być okresowo powtarzany przy okazji przeglądów systemu i jego aktualizacji. Dla przypomnienia: zbiory danych niewrażliwych można przetwarzać od momentu zgłoszenia do rejestracji, o ile taki obowiązek istnieje. Zbiory danych wrażliwych, które podlegają obowiązkowi rejestracji, można przetwarzać po ich zarejestrowaniu przez GIODO. W każdym przypadku, również gdy nie zachodzi potrzeba rejestracji, przy przetwarzaniu danych osobowych należy zapewnić ich ochronę a więc środki ochrony (organizacyjne i techniczne) powinny być wdrożone przed rozpoczęciem przetwarzania danych (w tym zbierania danych). Poziom środków technicznych i organizacyjnych Wymagania określone przez ustawę oraz rozporządzenie można zgrupować w 3 obszarach: - wymagania w sferze zabezpieczeń organizacyjnych - wymagania w sferze zabezpieczeń infrastruktury informatycznej - wymagania w sferze funkcjonalności aplikacji stosowanych do przetwarzania danych osobowych Ustawa i rozporządzenie określają podstawowe wymagania w tych 3 obszarach ale administrator nie może automatycznie uznać, że w jego przypadku te minimalne wymagania są wystarczające dla zabezpieczenia przetwarzanych danych osobowych - choć w praktyce takie podejście przeważa. Wyobrażenie o potencjalnych środkach organizacyjnych i technicznych daje lista dostępna w aplikacji e-giodo (dostępna w trakcie wypełniania wniosku). Środki organizacyjne i zabezpieczenia infrastruktury informatycznej Ustawa o ochronie danych osobowych wymaga podjęcia szeregu kroków niezależnie od ilości i rodzaju przetwarzanych danych osobowych. Są to m.in. opracowanie dokumentacji systemu ochrony danych osobowych, wyznaczenie ABI, wydanie upoważnień osobom przetwarzającym dane osobowe, prowadzenie ewidencji wydanych upoważnień, wyznaczenie obszarów przetwarzania danych, wydanie zgody na przebywania w obszarach przetwarzania danych osób nieupoważnionych do przetwarzania danych pod nieobecność osób upoważnionych (o ile zachodzi taka potrzeba). Przy wyznaczeniu ABI należy określić zakres jego obowiązków, gdyż ustawowy zapis o roli ABI jest bardzo ogólnikowy. Przy wydawaniu upoważnień należy z kolei pamiętać o pobraniu pokwitowania otrzymania upoważnienia przez upoważnianych pracowników. Upoważnienia powinien wydać dyrektor biblioteki, reprezentujący administratora danych. Prowadzenie ewidencji upoważnień jest natomiast najczęściej w rękach ABI. Należy pamiętać, że wśród osób upoważnionych powinny znaleźć się osoby, które mogą mieć dostęp do danych mimo, iż nie jest to przewidziane w ich codziennych czynnościach. Takimi osobami są np. administratorzy systemów informatycznych, przedstawiciele dostawców oprogramowania. Jeżeli, tak jak to ma często miejsce, biblioteka zatrudnia do obsługi systemów

8 informatycznych firmę zewnętrzną to można albo upoważnić wskazane przez tę firmę osoby albo podpisać z firmą umowę o powierzenia przetwarzania danych osobowych, w której to sytuacji na tę firmę spadnie obowiązek wydania upoważnień (dla biblioteki istotne będzie natomiast aby istniał mechanizm zapobiegający dopuszczeniu do administrowania systemem osobę niebędącą w rzeczywistości pracownikiem wybranej firmy). W sytuacji powierzenia przetwarzania danych osobowych biblioteka powinna określić cel i zakres w jakim dane mogą być przetwarzane przez kontrahenta oraz zachować sobie prawo do kontroli czy kontrahent realizuje obowiązki wynikające z ustawy (m.in. wyznaczenie ABI, upoważnienie osób wyznaczonych do prowadzenia prac konserwacyjnych lub administrowania systemami). Wśród zabezpieczeń infrastruktury informatycznej wymienić można: kontrolę dostępu do danych, w tym uwierzytelnienie użytkowników (może być realizowane w aplikacji), przy czym w przypadku poziomu wysokiego (patrz niżej) niezbędne jest kryptograficzne zabezpieczenie danych uwierzytelniających przesyłanych w sieci publicznej nadzór nad nośnikami wykonywanie kopii zapasowych danych i programów służących do ich przetwarzania zabezpieczenia przez awariami zasilania ochronę przed wirusami komputerowymi i innym niepożądanym oprogramowaniem, ochronę kryptograficzna danych na komputerach przenośnych ochronę poufności i integralności na nośnikach i urządzeniach poza obszarem przetwarzania danych (przy poziomie podwyższonym) usuwanie danych z nośników wycofywanych z użytku, przekazywanych innemu podmiotowi lub oddawanych do naprawy ochronę przed nieuprawnionym dostępem z sieci publicznej (w przypadku wysokiego poziomu): kontrola przepływu informacji oraz kontrola działań inicjowanych z sieci publicznej i z systemu informatycznego administratora Część tych wymagań może być realizowana w aplikacji, część w systemie operacyjnym a część przez specjalizowane oprogramowanie lub urządzenia. Wymagany poziom zabezpieczeń jest wybierany spośród 3 określonych w rozporządzeniu poziomów w zależności od tego czy system połączony jest z siecią publiczną (co oznacza wymóg stosowania wysokiego poziomu zabezpieczeń) a jeśli nie jest, to od tego, czy w systemie są przetwarzane dane wrażliwe (podwyższony) czy nie (podstawowy). Jeśli chodzi o wymóg zabezpieczenia danych uwierzytelniających to wydaje się on sformułowany niefortunnie - należy zadbać również o podobne zabezpieczenie wszystkich danych osobowych przesyłanych przez sieć publiczną, a dane uwierzytelniające należy chronić we wskazany sposób również w sieciach lokalnych. Na szczęście większość nowoczesnych systemów realizuje ten wymóg w odniesieniu do tych danych a zabezpieczenie danych osobowych jest również łatwe do osiągnięcia. Jednak tam, gdzie stosuje się techniki kryptograficzne należy zapewnić przemyślane i systematyczne podejście do zarządzania kluczami kryptograficznymi. Wykonywanie kopii zapasowych oprogramowania ma służyć umożliwieniu odtworzenia systemu po ewentualnej awarii wraz z ustaloną konfiguracją aplikacji służących do przetwarzania danych osobowych i w ustalonych wersjach tych aplikacji, tak aby ewentualne różnice w konfiguracji lub wersji oprogramowania nie doprowadziły do utraty spójności lub integralności zbiorów danych. Zaleca się wykonywać taką kopię po każdorazowej aktualizacji aplikacji lub zmianie konfiguracji i stosować do tego osobne nośniki niż dla kopii zapasowych zbioru. Dobrym rozwiązaniem jest wykonywanie kopii obrazów dysków, co upraszcza i przyspiesza odtwarzanie w razie awarii. Nośniki kopii zapasowych należy oczywiście nadzorować i przechowywać w zabezpieczonych

9 miejscach, o ile to możliwe poza główną lokalizacją. Gdyby to nie było możliwe zalecane jest stosowanie ogniotrwałych sejfów na nośniki magnetyczne ale jest to duży wydatek. Warto również zwrócić uwagę na dopuszczalną krotność zapisów na nośnikach oraz warunki środowiskowe przechowywania nośników. Wymagana funkcjonalność systemów informatycznych służących do przetwarzania danych osobowych Funkcjonalność aplikacji służących do przetwarzania danych osobowych wynika przede wszystkim z przepisów rozporządzenia ale wymagania stawiane dostawcom tych aplikacji powinny być nieco szersze niż to co zapisane jest w przepisach, aby w pełni wywiązać się z obowiązków administratora danych. Elementy funkcjonalności wynikające z rozporządzenia to: odnotowanie daty pierwszego wprowadzenia danych czytelnika do systemu, odnotowanie użytkownika (bibliotekarza), który wprowadził dane czytelnika (chyba, że system informatyczny obsługiwany jest wyłącznie przez jedną osobę), możliwość odnotowania informacji o źródle danych (w przypadku zbierania danych nie od osoby, której dane dotyczą); warto przy tym wprowadzić zasadę, że nie zostawia się tego pola pustego nawet jeżeli dane pochodzą od osoby której dotyczą, możliwość odnotowania informacji o udostępnianiu danych (odbiorca, data i zakres udostępnienia) - tego wymagania nie trzeba realizować w systemach przetwarzających dane zawarte w zbiorach jawnych; w tym miejscu warto również odnotowywać informacje o przekazaniu danych np. do podmiotu któremu powierzono przetwarzanie danych; należy odnotowywać udostępnienia do zbioru (z art. 23) i nie do zbioru (z art. 29), możliwość odnotowania sprzeciwu z art. 32 ust. 1 pkt 8, czyli sprzeciwu wobec przetwarzania danych w celach marketingowych (jeżeli przetwarzanie następuje z art. 23 ust. 1 pkt 4 lub 5) lub wobec udostępniania danych innemu administratorowi, możliwość prezentacji i wydruku raportu zawierającego ww. informacje w powszechnie zrozumiałej formie, dla każdej osoby której dane są przetwarzane, przy czym wymagane jest aby pierwsze dwa elementy były realizowane automatycznie przez system po zatwierdzeniu operacji wprowadzania danych. Jeśli dane przetwarzane są w więcej niż jednym systemie informatycznym, informacje o udostępnieniach mogą być odnotowywane w jednym z tych systemów lub w osobnym systemie służącym do tego celu. Dodatkowo rozporządzenie nakazuje dołączenie do dokumentacji systemu (polityki bezpieczeństwa) opisu struktur danych, przechowujących dane osobowe, co w większości przypadków wymaga współpracy producenta oprogramowania. Jeżeli system nadaje osobom numery identyfikujące wówczas trzeba wyraźnie określić jakie znaczenie mają elementy tych numerów. Wymagania o automatycznym odnotowaniu daty i identyfikatora osoby wprowadzającej dane po raz pierwszy do systemu stanowią formę zapewnienia tzw. rozliczalności działań. Dobre praktyki w dziedzinie ochrony informacji zalecają zapewnienie rozliczalności w szerszym zakresie, a więc umożliwienie zidentyfikowania daty i źródła (osoby) każdej zmiany chronionych danych oraz automatyczne odnotowanie udostępnienia w każdym wyselekcjonowanym do eksportu (udostępnienia) rekordzie w przypadku gdy eksportowane jest wiele rekordów na raz.

10 Niezależnie od wymagań określonych w rozporządzeniu, ustawa sama w sobie stawia pewne wymagania, które powinny być odzwierciedlone w funkcjonalności systemu informatycznego, między innymi: możliwość sporządzenia raportu dla osoby, której dane dotyczą, zawierającego pełną treść przetwarzanych danych jej dotyczących - oczywiście powinna to realizować stosowana aplikacja, przy czym można odnotowywać datę sporządzenia ostatniego takiego raportu w celu ograniczenia częstości takich żądań do jednego na 6 miesięcy, możliwość usunięcia danych z pozostawieniem wyłącznie imienia, nazwiska i PESEL-u lub adresu, oraz zaznaczenia, że osoba zażądała zaprzestania przetwarzania jej danych (jeżeli przetwarzanie następuje na podstawie art. 23 ust. 1 pkt 4 lub 5); GIODO zaleca, aby usuwanie danych osobowych w każdym przypadku odbywało się w sposób uniemożliwiający ich późniejsze, łatwe odtworzenie niewystarczające jest ich przenoszenie do innego katalogu lub oznakowanie znacznikiem usunięte, powinny zostać fizycznie zamazane tak, aby nie można było ich odzyskać z poziomu aplikacji lub systemu operacyjnego, w celu zapewnienia dokładności informacji o udostępnieniach danych (co jest wymagane przez rozporządzenie) wskazane jest, aby te informacje nie były przechowywane w polach typu "uwagi", w których użytkownicy (bibliotekarze) wpisują notatki, lecz aby były to pola bez możliwości przypadkowego skasowania wcześniejszych zapisów. Co więcej, w idealnym systemie powinna istnieć możliwość zidentyfikowania (wyliczenia) tych podmiotów, którym udostępniono pole danych, którego wartość została następnie poprawiona lub zaktualizowana. Z punktu widzenia biblioteki jako klienta korzystne byłoby również uzyskanie od dostawców aplikacji deklaracji zgodności programu z ustawą o ochronie danych osobowych oraz, w ramach gwarancji a później serwisu, zobowiązania się producentów do wprowadzania zmian odzwierciedlających ew. zmiany w tej materii. Obsługa czytelników Obsługa czytelników to podstawowe zadanie biblioteki a podstawowym narzędziem realizacji tego zadania jest spis czytelników oraz przyporządkowanie czytelnikom wypożyczonych książek lub zasobów. Trzeba pamiętać, iż oprócz zapisów w komputerowej bazie danych biblioteki nadal będą przechowywać tzw. zobowiązania czytelników. Jak wygląda obsługa czytelników (zapisy, wypożyczenia i zwroty) z punktu widzenia ustawy o ochronie danych osobowych? Jak wspomniano, przesłanką legalizującą przetwarzanie danych czytelników (w zakresie adekwatnym do realizacji zadania ochrony wypożyczanych zbiorów) jest realizacja uprawnienia lub obowiązku wynikającego z przepisu prawa. Nie jest wskazane, a wręcz źle widziane przez GIODO występowanie do czytelnika o zgodę na przetwarzanie jego danych osobowych, dla których istnieje inna przesłanka legalizująca ich przetwarzanie. Wystarczy podpis akceptujący regulamin biblioteki i deklarujący chęć korzystania z biblioteki. Jeżeli natomiast zbierane dane mają służyć do innych celów (np. adres poczty elektronicznej do powiadamiania o imprezach) to należy znaleźć inną przesłankę legalizującą przetwarzanie (np. zgoda czytelnika). Należy pamiętać o dopełnieniu obowiązku informacyjnego wobec czytelnika, co może być zrealizowane przez odpowiedni punkt w regulaminie biblioteki, ogłoszenie w miejscu obsługi zapisującego się czytelnika lub, co wydaje się korzystniejsze, zamieszczenie stosownego komunikatu na podpisywanej przez czytelnika karcie zobowiązania. Zgoda na przetwarzanie danych osobowych jest natomiast wskazana przy zbieraniu danych osób upoważnionych do korzystania z czyjegoś konta - po pierwsze brak innej przesłanki do przetwarzania danych tych osób, ponadto, gdy są one zbierane od właściciela konta (a więc nie od osoby, której dotyczą) wówczas należy spełnić tzw. wtórny obowiązek informacyjny - obie te powinności można załatwić równocześnie za pomocą formularza, na którym osoba upoważniona

11 udzieli zgody na przetwarzanie jej danych osobowych a jednocześnie będzie poinformowana o administratorze danych, celu przetwarzania itd. zgodnie z wymogami ustawy. Zazwyczaj osoba taka jest rejestrowana w bazie czytelników jako regularny czytelnik ze wskazaniem na nią w rekordzie osoby, do której konta zyskuje upoważnienie. Nic nie stoi na przeszkodzie, a w zasadzie byłoby właściwe, aby osoby upoważnione wyróżniać w systemie w szczególny sposób, szczególnie jeżeli z racji upoważnienia mają inne, być może mniejsze uprawnienia niż regularni użytkownicy. Struktury danych w systemie obsługi czytelników powinny być zaprojektowane tak, aby uwzględniać te przypadki m.in. po to, aby łatwo było zrealizować obowiązek informacyjny na żądanie osoby upoważnionej (art. 32 ustawy, w tym celu trzeba odnaleźć jej dane) oraz zapewnić możliwość usunięcia jej danych w przypadku wycofania udzielonej zgody. Jeżeli biblioteka ma podległe filie lub oddziały, ew. punkty biblioteczne, to zalecane jest traktowanie danych czytelników przechowywanych w tych placówkach jako podzbiorów głównego zbioru czytelników biblioteki. To wydaje się naturalne w przypadku scentralizowanego systemu bibliotecznego, ale w placówkach nadal pozostają zobowiązania czytelników, które trzeba traktować jako część zbioru danych czytelników (a więc zbiór będzie rozproszony), a w przypadku starszych systemów bibliotecznych również bazy czytelników są rozproszone, co nie przeszkadza w traktowaniu ich jako części głównego zbioru. Jeśli chodzi o zakres przetwarzanych danych to warto zwrócić uwagę na to, iż zgodnie z ustawą, za dane osobowe uważa się wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby a więc w bibliotekach będą to również informacje o wypożyczonych lub zarezerwowanych do wypożyczenia książkach. W niektórych systemach może istnieć wybór między przechowywaniem całej historii wypożyczeń lub tylko bieżących wypożyczeń. Ten wybór rzutuje m.in. na zakres raportu, który sporządzić należy na wniosek czytelnika powołujący się na art. 32 ust. 1 pkt 3 ustawy. Pamiętać też trzeba, że historia wypożyczeń powiązana z czytelnikami może zwiększać atrakcyjność bazy czytelników dla potencjalnych złodziei danych. Warto też ustalić okres czasu przez jaki dane osobowe czytelników są przechowywane mając na względzie 2 sytuacje: zaprzestanie przez czytelnika z korzystania z biblioteki bez deklarowania takich intencji bibliotece oraz wypisanie się osoby na własną prośbę z grona czytelników. Zastosowanie ma tu jedna z ważniejszych zasad przetwarzania danych, zawarta w art. 26 ust. 1 ustawy: Administrator... w szczególności jest obowiązany zapewnić, aby dane te były:... 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania W pierwszym przypadku okres ten powinien być tak dobrany aby nie powodować niepotrzebnego wypisywania i zapisywania czytelnika robiącego dłuższą przerwę w korzystaniu z biblioteki. Wydaje się, że stosowane okresy 5 lat od daty ostatniego wypożyczenia (zwrotu) są pod tym względem akceptowalne. W drugim przypadku należy ustalić okres biorąc pod uwagę ewentualne powiązanie czytelnika np. z zapisami w dziennikach zdarzeń systemów informatycznych i możliwością wszczęcia dochodzenia wykorzystującego te dzienniki przez pełen okres ich przechowywania (który też powinien być ustalony i ograniczony), jeżeli czytelnicy z takich systemów korzystają a ich działania w tych systemach są identyfikowane poprzez odwołanie do zbioru czytelników. Obsługa czytelników przez internet Coraz więcej systemów pozwala na zdalny dostęp użytkowników do katalogu książek, do informacji o stanie własnego konta i do usług rezerwacji książek przez internet. Jak traktować tego

12 rodzaju dostęp? Czy osoby takie są użytkownikami systemu? Jeśli tak, to czy muszą mieć upoważnienia wydane przez administratora i zmieniać co 30 dni hasło? Najlepszym jak się wydaje rozwiązaniem byłoby ograniczyć informacje widoczne po zalogowaniu się do systemu do informacji nie stanowiących danych osobowych. Problemem w takich systemach jest bowiem najczęściej słabość haseł używanych przez czytelników i brak akceptacji użytkowników do stosowania dłuższych i częściej zmiennych haseł, co powoduje że prawdopodobieństwo skutecznego zalogowania się na czyjeś konto jest niepomijalne. W takim przypadku administrator danych mógłby narazić się na zarzut udostępnienia danych osobie nieupoważnionej co zagrożone jest poważnymi konsekwencjami. Zabezpieczeniem przeciw takim zagrożeniom byłby system wykrywania włamań identyfikujący próby nieprawidłowego logowania się do systemu i zapobiegający im. Obsługa publicznego dostępu do internetu Zapewnienie publicznego dostępu do internetu wiąże się na kilka sposobów z ochroną danych osobowych. Po pierwsze, planując taką usługę należy zadbać aby oddzielić przeznaczone do tego komputery od komputerów służących do przetwarzania innych zbiorów danych osobowych, takich jak zbiory czytelników lub zbiory pracowników. Po drugie trzeba liczyć się z tym, że osoby które przychodzą korzystać z tych komputerów mogą nieświadomie zostawić na nich dane osobowe swoje lub innych osób (oprócz danych osobowych mogą to być również inne cenne dane - np. hasła dostępu do serwisów bankowych lub numery kart kredytowych). Aby zapobiec ujawnieniu tych danych, co mogłoby wiązać się z zarzutami wobec biblioteki, można i warto stosować narzędzia, które kasują zawartość pozostawioną przez użytkownika i przywracają oryginalną konfigurację przed udostępnieniem komputera następnej osobie. Przykładem takiego darmowego programowego narzędzia jest Microsoft Shared Computer Toolkit ale nie brakuje też innych, programowych lub sprzętowych. Mimo ryzyka, że na tych komputerach pojawią się dane osobowe wprowadzone przez użytkowników, dopóki użytkownikami są osoby fizyczne można nie stosować wobec tych systemów wymagań zapisanych w rozporządzeniu i ustawie. Dla uzasadnienia takiego stanowiska można przywołać sprawę opisaną w sprawozdaniu GIODO za rok 2005: Podczas jednej z kontroli odnotowano sytuacje, w której dane osobowe przetwarzane były z wykorzystaniem tego samego serwera i przy użyciu tego samego systemu informatycznego, zarówno przez osoby fizyczne do celów osobistych, jak również przez podmioty gospodarcze w celach służbowych. Co więcej, serwer i system informatyczny udostępniany był przez podmiot trzeci. W sytuacji tej uznano, że administratorem danych są podmioty wykorzystujące udostępnione im środki techniczne, ponieważ to one decydują w takich przypadkach o celach i środkach przetwarzania danych, a nie podmiot udostępniający system informatyczny. Zauważyć należy jednak, że administrator danych decydujący sie na wykorzystanie udostępnionej przez inny podmiot infrastruktury informatycznej powinien pamiętać o tym, że wybierany przez niego system informatyczny musi spełniać wymagania ustawy. Z kolei, na podstawie art. 3a ust.1 pkt1, uznano również, że wymagania te nie musza być spełnione w przypadku, gdy dane przetwarzane są w tym systemie przez osobę fizyczna do celów osobistych. Mamy tu do czynienia z sytuacja, w której zgodność systemu informatycznego z wymaganiami określonymi w ustawie i rozporządzeniu jest lub nie jest wymagana, w zależności od tego, przez kogo system ten będzie wykorzystywany. Zgodność taka formalnie może być bowiem wymaga tylko wtedy, gdy system ten wykorzystywany będzie przez podmioty lub osoby podlegające przepisom ustawy. Prócz spraw wynikających z możliwości pozostawienia danych osobowych na stanowiskach publicznego dostępu do internetu warto też pamiętać o prawidłowym rozwiązaniu kwestii rejestrowania użytkowników tych stanowisk. Z wielu względów może być pożądane legitymowanie

13 i rejestrowanie osób które taki dostęp mają uzyskać. Nie zawsze są to zarejestrowani czytelnicy, co pozwalałoby uniknąć traktowania tego rejestru jako osobnego zbioru danych osobowych. Tworząc taki rejestr w formie papierowej warto pamiętać o 2 rzeczach: nie powinien on pozwolić rejestrującym się osobom na poznanie danych wcześniej zarejestrowanych - wyklucza to więc rozwiązanie typu dziennik do którego użytkownicy sami wpisują swoje dane w kolejnych wierszach. Po drugie, czas przechowywania danych powinien być skorelowany z czasem przechowywania elektronicznych logów aktywności - po tym czasie celowość trzymania rejestru jest wątpliwa. Problemy napotykane przy wdrażaniu systemów ochrony danych osobowych w bibliotekach Oprócz podstawowego problemu jakim jest brak odpowiedniej funkcjonalności w aplikacjach, w procesie wdrażania systemu ochrony danych osobowych w bibliotekach spotyka się również następujące przeszkody: wymóg stosowania haseł przez użytkowników-bibliotekarzy jest trudny do zaakceptowania przy stosowanych procedurach pracy w bibliotekach wyposażenie bibliotek stanowią często stare komputery i systemy operacyjne co wymusza stosowanie starych wersji aplikacji; stare systemy operacyjne, poza niższym wbudowanym poziomem bezpieczeństwa (brak separacji użytkowników i procesów, brak bezpiecznych mechanizmów ochrony haseł i uwierzytelnienia, bezpiecznego przechowywania logów), często nie są już wspierane przez producentów co skutkuje brakiem aktualizacji bezpieczeństwa a to sprzyja próbom nieuprawnionego dostępu, propagacji wirusów komputerowych itp. brak regularnej aktualizacji systemów operacyjnych i aplikacji oraz oprogramowania antywirusowego brak prawidłowego postępowania z kopiami zapasowymi i archiwalnymi (brak kopii konfiguracji oprogramowania, brak rotacji nośników) oraz brak ewidencji i nadzoru nad nośnikami (dyskami twardymi i taśmami) brak dostatecznych środków fizycznej ochrony serwerów i stanowisk komputerowych (brak wydzielonych pomieszczeń na serwery) brak egzekwowania zmiany haseł i utrzymania poufności haseł stosowanie domyślnych ustawień zabezpieczeń w serwerach, stacjach roboczych i urządzeniach sieciowych brak nadzoru nad administratorami systemów informatycznych (brak dostatecznej wiedzy po stronie ABI), brak planowania na wypadek ich niedostępności brak zarządzania kluczami kryptograficznymi brak zakazu zabierania danych do domu i brak technicznych możliwości egzekwowania takiego zakazu brak ograniczenia uprawnień użytkowników (bibliotekarzy) brak polityki postępowania z logami, w szczególności z logami ze stanowisk internetowych brak dostatecznie silnego usytuowania ABI w jednostce organizacyjnej, pozwalającego eliminować dostrzeżone i utrwalone nieprawidłowości oraz prowadzić działania zapobiegawcze np. przeglądy systemu ochrony danych osobowych brak systemu rejestrowania, wyjaśniania i analizy przyczyn incydentów, co pozwala doskonalić system ochrony danych osobowych Zakończenie Czy dane w bibliotekach są na tyle cenne aby uzasadniać wdrażanie zabezpieczeń? Powracając do wyliczeń i rozważań podanych na wstępie można uznać za prawdopodobne występowanie w niektórych bibliotekach publicznych zbiorów danych czytelników liczących dziesiątki tysięcy osób. Zakładając, że oprócz podstawowych danych jakimi są imię, nazwisko, adres, adres poczty

14 elektronicznej, numer PESEL, w zbiorze przetwarzane są również informacje o kategorii wiekowej i kategorii zatrudnienia (w odpowiedzi na wymagania wynikające z przepisów o statystyce publicznej) oraz informacje o wypożyczeniach, w tym o historii tych wypożyczeń, atrakcyjność takiego zbioru dla osób zainteresowanych dotarciem do klienta z precyzyjnie wybraną reklamą towaru (np. książki ale niekoniecznie) może być znaczna. W takiej sytuacji celowe staje się przedsięwzięcie skutecznych kroków w celu ograniczenia ryzyka udostępnienia takich danych osobom nieupoważnionym. Do takich przedsięwzięć należy zarówno staranny projekt struktury zbiorów (unikanie wiązania danych gromadzonych na potrzeby statystyki z danymi osobowymi, usuwanie informacji o wypożyczeniach po zwrocie wypożyczonych materiałów), stosowanie skutecznych środków organizacyjnych i technicznych wynikających z ustawy o ochronie danych osobowych jak i ujęcie tych środków w ramy systemu pozwalającego na efektywne zarządzanie nimi i adaptowanie do zmieniających się sytuacji i zagrożeń. Należy również pamiętać że omówione w niniejszym artykule zbiory czytelników nie są jedynymi zbiorami danych osobowych w bibliotekach publicznych. Wśród innych takich zbiorów na pewno jest zbiór danych pracowników, przetwarzany w postaci tradycyjnej w formie akt osobowych ale najczęściej również w postaci elektronicznej w systemach kadrowo-płacowych. Nie są rzadkim przypadkiem tzw. czarne listy czytelników, przetwarzane poza głównym zbiorem (tak aby nie dopuścić do zarejestrowania się tej osoby), mogą się zdarzać też listy osób fizycznych darczyńców, uczestników i laureatów konkursów organizowanych przez biblioteki a także listy osób niebędących czytelnikami ale zainteresowanych udziałem w imprezach kulturalnych organizowanych przez biblioteki. W tych wszystkich przypadkach (poza zbiorami pracowników) należy rozważyć starannie podstawę prawną oraz obowiązek rejestracji zbioru. Nietrywialnym może okazać się przypadek sporządzenia przez bibliotekę (elektronicznego lub tradycyjnego) katalogu biografii autorów książek, gdyż pewne informacje zamieszczone w takim zbiorze mogą być potraktowane jako dane osobowe gdy dotyczą powszechnie rozpoznawanej osoby autora, a jednocześnie należy pamiętać, iż ustawa nie pozwala na przetwarzanie danych osobowych tylko na tej podstawie, że są publicznie znane (np. opublikowane w notach biograficznych książek lub na stronach internetowych współczesnych autorów), choć paradoksalnie jest to możliwe w przypadku danych wrażliwych opublikowanych przez osobę której dotyczą. W przypadku małych bibliotek stojących przed wyzwaniami wynikającymi z ochrony danych osobowych korzystne wydaje się wykorzystanie współpracy w ramach sieci bibliotecznej i środowisk bibliotekarskich. Przykładami takich działań są wypracowanie wspólnego szablonu i wytycznych do wypełniania wniosków rejestracyjnych (szczególnie pól dot. przesłanki legalizującej przetwarzanie), utworzenie forum wymiany informacji nt. zgodności aplikacji z wymogami ustawy oraz utworzenie sieci współpracy bibliotecznych ABI. Warto również wymieniać się informacjami i doświadczeniami nt. bezpłatnych programów do zabezpieczania sieci, jakich wiele jest dostępnych w internecie. Źródła [1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [2] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych [3] Ustawa z dnia 27 czerwca 1997 r. o bibliotekach [4] Ustawa z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej [5] Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej [6] Sprawozdania z działalności GIODO, [7] Rejestr zbiorów danych osobowych, [8] Biblioteki publiczne w liczbach, dane z raportu Program operacyjny "Promocja czytelnictwa" [9] L. Biliński, "Biblioteki a zarejestrowanie zbiorów danych osobowych. Oskarżenia przeciw bibliotekom", Bibliotekarz nr 1/2002, str

15 [10] Mały rocznik statystyczny [11] Raport o stanie automatyzacji bibliotek publicznych, Raport%20o%20%20%20%20stanie%20automatyzacji%20bibliotek%20publicznych% prez.pdf [12] Polskie programy biblioteczne dla małych i średnich bibliotek publicznych. Raport 2002; w: Komputeryzacja i informacja elektroniczna w bibliotekach publicznych, red. E. Górska. Warszawa, S [13] Suplement do raportu o polskich programach bibliotecznych [14] ISO/IEC Security techniques Information Security Management Systems Requirements. Załącznik nr 1 Poniżej wymieniono wybrane zmiany w przepisach, a mianowicie takie, które mogą powodować konieczność dokonania zmian w tych systemach ochrony danych osobowych, które nie były od dłuższego czasu aktualizowane. Nie jest zagwarantowana kompletność ani bezbłędność tej listy. Zmiany pomiędzy 1997 i 2002 rokiem 1. (art. 6) zmieniono definicję danych osobowych: z "informacji dotyczącej osoby fizycznej, pozwalającej na określenie tożsamości tej osoby" na "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej", dodając wyjaśnienie pojęcia identyfikacji lub możliwości identyfikacji 2. (art. 24 ust. 2) dodano nowy przypadek pozwalający na pominięcie obowiązku informacyjnego - jeżeli osoba posiada już informacje o których mowa 3. (art. 25 ust. 2) dodano 2 nowe przypadki zwolnienia z tzw. wtórnego obowiązku informacyjnego - dane są przetwarzane na podstawie przepisów prawa przez administratorów będących organami państwowymi lub samorządowymi, jednostkami organizacyjnymi państwowymi lub komunalnymi lub podmiotami realizującymi zadania publiczne - osoba której dane dotyczą posiada już informacje o których mowa 4. (art. 27 i art. 28) rozszerzono katalog danych wrażliwych o informacje o skazaniach, jednocześnie usuwając przepis szczególny dla tego przypadku 5. (art. 32) zezwolono na pozostawienie w zbiorach imienia, nazwiska i numeru PESEL lub adresu w celu uniknięcia powtórnego użycia danych objętych sprzeciwem 6. (art. 35) wprowadzono obowiązek propagowania zmian w przetwarzanych danych osobowych do administratorów którym te dane przekazano 7. (art. 36) rozszerzono katalog zagrożeń o przetwarzanie z naruszeniem ustawy, zmianę lub utratę 8. (art. 41) rozszerzono zakres informacji we wniosku rejestracyjnym o: - informacje o odbiorcach lub kategoriach odbiorców - informacje o ew. przekazywaniu za granicę Zmiany pomiędzy 2002 i 2004 rokiem 1. (art. 2 ust. 2) zmieniono przedmiotowy zakres obowiązywania ustawy - uściślono że zakres obejmuje przetwarzanie danych w systemach informatycznych również poza zbiorami danych 2. (art. 14) zezwolono inspektorom w trakcie kontroli na wstęp do pomieszczeń w których przetwarza się dane osobowe poza zbiorem 3. (art. 15 ust. 1) przeredagowano zapis mówiący o obowiązkach administratora danych wobec kontrolerów 4. (art. 23) zmieniono brzmienie m.in. 2. przesłanki legalizującej przetwarzanie danych osobowych: - "gdy zezwalają na to przepisy prawa" zastąpiono przez "gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa" 5. (art. 25) zlikwidowano wyłączenie z wtórnego obowiązku informacyjnego dla organów

16 państwowych i samorządowych oraz jednostek organizacyjnych państwowych i komunalnych oraz podmiotów niepaństwowych realizujących zadania publiczne 6. (art. 33 ust. 1) przeredagowano zapis dotyczący udzielania odpowiedzi osobom których dane są przetwarzane, wskazując że odpowiedź powinna zawierać informacje z art. 32 ust. 1 pkt 1-5a 7. przepisami rozdziału 5. objęto zabezpieczenie danych osobowych a nie tylko zbiorów danych osobowych; ponadto: - wprowadzono obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych i środki zabezpieczeń (art. 36 ust. 2) - wprowadzono funkcję administratora bezpieczeństwa informacji (art. 36 ust. 3) - postanowiono że upoważnienia mają być wydawane osobom przetwarzającym dane osobowe a nie obsługującym systemy informatyczne i urządzenia wchodzące w ich skład - co oznacza że upoważnienia są również potrzebne do przetwarzania danych osobowych poza systemami informatycznymi - wcześniej wystarczył wpis do ewidencji (art. 37) - rozciągnięto obowiązek kontroli nad tym jakie dane, kiedy i przez kogo są wprowadzane oraz komu są przekazywane na wszystkie zbiory, nie tylko te prowadzone w systemach informatycznych (art. 38) - określono zakres ewidencji osób upoważnionych (art. 39 ust. 1), zastępując wcześniejszą ewidencję osób zatrudnionych co wiązało się ze stosunkiem pracy - wprowadzono dla osób upoważnionych obowiązek zachowania w tajemnicy sposobów zabezpieczenia danych osobowych, usuwając jednocześnie uwagę o trwaniu tajemnicy po zakończeniu zatrudnienia (art. 39 ust. 2) - wpisano delegację dla MSWiA do wydania rozporządzenia o dokumentacji przetwarzania danych oraz wymaganiach na urządzenia i systemy informatyczne służące do przetwarzania danych (art. 39a) 8. (art. 41 ust. 1) przeredagowano zakres informacji we wniosku rejestracyjnym uwzględniając lub dodając m.in.: - opis kategorii osób których dane są przetwarzane 9. (art. 42 ust. 3. i 4) ograniczono wydawanie zaświadczeń o zarejestrowaniu zbioru tylko do administratorów tych zbiorów, wprowadzając jednocześnie automatyczne wydawanie takich zaświadczeń w przypadku zbiorów danych wrażliwych 10. (art. 43 ust. 1 pkt. 4) rozszerzono zwolnienie z obowiązku rejestracji zbiorów na zbiory osób świadczących administratorowi danych usługi na podstawie umów cywilnoprawnych, ograniczając jednocześnie to zwolnienie do sytuacji przetwarzania danych w związku z zatrudnieniem lub świadczeniem usług 11. (art. 44) wprowadzono możliwość usuwania zbiorów z rejestru w przypadku zaprzestania przetwarzania danych w tym zbiorze lub w przypadku rejestracji z naruszeniem prawa 12.(art. 46) dla zbiorów danych wrażliwych wprowadzono zasadę że przetwarzanie danych może się rozpocząć dopiero po ich zarejestrowaniu przez GIODO Załącznik nr 2 Porównanie cech wybranych programów bibliotecznych z punktu widzenia funkcjonalności wymaganej przez ustawę i rozporządzenie na podstawie odpowiedzi od producentów.

17 odnotowywanie daty wprowadzenia rekordu odnotowywanie identyfikatora bibliotekarza pole do odnotowywania informacji o źródle danych pole do odnotowywania informacji o udostępnieniach pole do odnotowywania informacji o sprzeciwie osobne konta użytkowników wymuszanie przez aplikacje złożoności i częstości zmiany haseł wydruk danych czytelnika w postaci formatki Program nr 1 Program nr 2 Program nr 3 Program nr 4 Program nr 5 TAK TAK TAK TAK TAK NIE TAK TAK NIE, można za pomocą skryptu przepisać login systemowy TAK, "Uwagi" TAK, "Uwagi" TAK, "Uwagi" NIE TAK TAK, "Uwagi" NIE TAK TAK, "Uwagi" NIE TAK TAK, "Uwagi" TAK TAK TAK TAK TAK TAK TAK NIE TAK NIE kasowanie rekordów istnieje możliwość fizycznego skasowania rekordu (a również oznaczenia jako skasowanego) zdalny dostęp czytelników do swoich kont NIE, hasło musi mieć minimum 5 znaków NIE (sprawdzić) NIE NIE TAK TAK TAK TAK TAK jest możliwy fizyczne kasowanie rekordu jest niemożliwy fizyczne kasowanie rekordu Fizyczne kasowanie rekordu jest możliwy Brak informacji Fizyczne zamazywanie pól rekordu, zastępowanie imienia i nazwiska informacją dane usunięte Brak informacji