Informatyzacja bibliotek w świetle ustawy o ochronie danych

Informatyzacja bibliotek w świetle ustawy o ochronie danych

Informatyzacja bibliotek w świetle ustawy o ochronie danych
osobowych
Karol Górski, CISM
[email protected]
ENIGMA Systemy Ochrony Informacji sp. z o.o.
Wstęp
Ustawa o ochronie danych osobowych1 już od prawie 10 lat reguluje zasady przetwarzania danych
osobowych, czyli, zgodnie z ustawową definicją, takich danych, które powiązać można z konkretną
osobą. Przepisy ustawy stosować należy wszędzie tam, gdzie przetwarza się takie dane, o ile nie ma
przepisów szczegółowych, właściwych dla danej branży, a w przypadku gdy są - w zakresie
nieuregulowanym przepisami szczegółowymi. Celem niniejszego artykułu jest omówienie
zagadnienia ochrony danych osobowych w kontekście systemów informatycznych w bibliotekach
publicznych.
Czy biblioteki przetwarzają dane osobowe czytelników ?
Przepisy nie stanowią wprost o dopuszczalności przetwarzania danych osobowych czytelników
(użytkowników biblioteki). Wprowadzają jednak obowiązek ochrony materiałów bibliotecznych
jako jedno z podstawowych zadań. Obowiązek ten nie mógłby być realizowany bez posiadania
wiedzy o osobach, którym materiały biblioteczne są wypożyczane. Z tego zadania wynika więc
prawo do przetwarzania danych w zakresie wystarczającym do ochrony zbiorów bibliotecznych, a
w praktyce do zapewnienia sobie możliwości zrealizowania uprawnienia określonego w art. 14 ust.
2 pkt 5 ustawy o bibliotekach.
Tak więc, jak można przeczytać w sprawozdaniu GIODO za rok 2000:
W odpowiedzi na jedno z pytań prawnych Generalny Inspektor uznał, iż biblioteki przetwarzają
dane o czytelnikach na podstawie przesłanki określonej w art. 23 ust. 1 pkt 2 ustawy. Na
gromadzenie tych informacji zezwalają bowiem przepisy ustawy z dnia 27 czerwca 1997 r. o
bibliotekach (Dz. U. Nr 85, poz. 539).
Ponieważ przepisy branżowe (ustawa o bibliotekach i ustawa o organizowaniu i prowadzeniu
działalności kulturalnej) nie poruszają zagadnienia ochrony danych osobowych więc stosować
należy w całej rozciągłości ustawę o ochronie danych osobowych. Trzeba więc również uznać, iż
brak jest przesłanek, które zwalniałyby z obowiązku rejestracji zbioru czytelników w przypadku
bibliotek publicznych (inna jest sytuacja bibliotek uczelnianych, zakładowych, w zakładach opieki
zdrowotnej itp.).
Biblioteki publiczne są również zobowiązane do uczestnictwa w badaniach statystycznych.
Coroczne sprawozdania składane na drukach K-03 wymagają podania liczby czytelników w
podziale na kategorie wiekowe oraz kategorie zatrudnienia. Są to jednak dane zbiorcze, opracowane
na podstawie danych jednostkowych, zebranych od czytelników korzystających z biblioteki w
1
W dalszej części artykułu gdy mowa będzie o ustawie (bez dodatkowego określenia) oznaczać to będzie ustawę o
ochronie danych osobowych, a gdy mowa będzie o rozporządzeniu – oznaczać to będzie rozporządzenie Ministra
Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych.
danym roku kalendarzowym. Z obowiązku składania takich zestawień nie wynika jednak wprost
prawo do przetwarzania - a więc również przechowywania - informacji o kategorii zatrudnienia
czytelnika (a tym bardzie o zawodzie) po jej uwzględnieniu w zbiorczym podsumowaniu (ustawa
wręcz zakazuje takiej praktyki w art. 26 ust. 1 pkt 4) - taka informacja może być zebrana do
odrębnego zbioru, nie posiadającego powiązań ze zbiorem danych osobowych czytelników, przy
czym taka metoda może być stosowana zarówno tam gdzie proces obsługi czytelników jest
skomputeryzowany jak i tam gdzie jest on prowadzony w sposób ręczny.
Kolejne pytanie jakie się pojawia dotyczy tego, kto jest odpowiedzialny za prawidłowe
przetwarzanie danych osobowych w bibliotece ? W myśl ustawy ta odpowiedzialność przypisana
jest tzw. administratorowi danych (osobowych), czyli podmiotowi który decyduje o celach
przetwarzania danych osobowych i środkach do tego stosowanych. W większości przypadków
przyjąć można, iż biblioteki publiczne są administratorami przetwarzanych przez siebie danych
osobowych, jeżeli działają jako samodzielne jednostki organizacyjne, prowadzące samodzielną
gospodarkę finansową. Inna jest sytuacja bibliotek szkolnych, zakładowych lub prowadzonych dla
obsługi specjalnych grup użytkowników w zakładach opieki zdrowotnej, zakładach karnych itp.
Administratorem danych osobowych jak zostało wspomniane jest podmiot - osoba prawna lub
jednostka organizacyjna nie mająca osobowości prawnej. Za prawidłowe wywiązywanie się z
obowiązków administratora danych osobowych odpowiadać będzie dyrektor tego podmiotu.
Administratora danych osobowych nie należy mylić z administratorem bezpieczeństwa informacji,
które to pojęcie również się w ustawie o ochronie danych osobowych pojawia. (Administrator
bezpieczeństwa informacji, popularnie określany skrótem ABI, ma nadzorować czy przestrzegane
są obowiązujące przepisy: ustawa, rozporządzenia ale również przepisy wewnętrzne - polityka
bezpieczeństwa, instrukcje zarządzania systemami informatycznymi itd., dotyczące przetwarzania
danych osobowych.)
Zbiór danych osobowych czytelników nie jest jedynym zbiorem jaki jest przetwarzany w
bibliotekach publicznych. Przepisy ustawy o bibliotekach przewidują, iż biblioteki zatrudniają
pracowników a co za tym idzie pełnią rolę pracodawców. Obowiązkiem pracodawców
wynikającym z kodeksu pracy jest m.in. gromadzenie dokumentacji pracowniczej w formie tzw. akt
osobowych. Zgodnie z obowiązującą wykładnią przepisów o ochronie danych osobowych akta te
stanowią zbiory danych osobowych, podlegające ochronie zgodnie z tymi przepisami. Możliwe jest
również występowanie innych zbiorów danych osobowych.
Jaki jest aktualny stan ochrony danych osobowych w
bibliotekach ?
Poniżej przedstawiono kilka czynników składających się na obraz aktualnej sytuacji bibliotek w
kontekście ochrony danych osobowych.
Statystyki rejestracji zbiorów i aktualizacji wniosków
Z krótkiego przeglądu rejestru zbiorów danych osobowych (dane dostępne w portalu e-GIODO)
wynika, iż liczba zarejestrowanych przez biblioteki zbiorów wynosi ok. 2200 (wyszukiwanie wg
klucza 'biblio' w polu 'nazwa administratora' daje liczbę 2160 zbiorów, wyszukiwanie wg klucza
'czytel' w polu 'nazwa zbioru' daje liczbę 2254 zbiorów), przy czym przeważnie każda biblioteka
zarejestrowała 1 zbiór ale bywało też tak, że jedna biblioteka gminna rejestrowała odrębne zbiory
dla wszystkich swoich filii. Podana suma zarejestrowanych zbiorów obejmuje również biblioteki
pedagogiczne, wojskowe i inne. Te wartości zbieżne są z sumą zbiorów zgłoszonych do rejestracji
przez biblioteki, zgłaszanych w latach 1998-2003 według rocznych sprawozdań GIODO. (W
sprawozdaniach za rok 2004 i 2005 brak informacji o rejestracji zbiorów przez biblioteki).
Dane o zgłoszeniach wniosków rejestracyjnych ze sprawozdań GIODO:
rok
Liczba
zgloszeń
1998
8
1999
1960
200
109
2001
10
2002
9
2003
191
2004
bd
2005
bd
W innym źródle [9] spotkać można liczbę 2615 zgłoszonych przez biblioteki do rejestracji zbiorów,
bez wskazania jakie biblioteki obejmuje ta liczba.
Tymczasem, według opracowania „Biblioteki publiczne w liczbach” [8] w roku 2005 samych
bibliotek publicznych (bez filii) było 2636. Nie można co prawda wykluczyć, że pozostałe
biblioteki zostały wchłonięte przez miejskie lub gminne ośrodki kultury bądź inne jednostki
organizacyjne i zarejestrowały swoje zbiory pod takimi nazwami w nazwie administratora,
jednocześnie nie używając słowa czytelnicy (w różnych odmianach) w nazwie zbioru, jednak
wydaje się prawdopodobne że pewna liczba bibliotek publicznych nadal nie dopełniła obowiązku
rejestracji zbioru danych osobowych swoich czytelników.
Z wyrywkowego przeglądu informacji o aktualizacjach wniosków rejestracyjnych wynika z kolei,
iż większość bibliotek posiadających zarejestrowane zbiory nie dokonała aktualizacji związanej z
nowelizacją ustawy w 2004 roku (a w bardzo wielu przypadkach - ani jednej aktualizacji od czasu
zarejestrowania zbioru) i zmienionymi w efekcie tej nowelizacji wymaganiami na przetwarzanie i
zabezpieczenie danych osobowych. Na blisko 200 sprawdzonych bibliotek tylko 5 aktualizowało
swoje wnioski po wejściu w życie nowelizacji z 2004 roku. Istnieje duże prawdopodobieństwo, że
w większości bibliotek zabrakło również działań wewnątrz-bibliotecznych zmierzających do
dostosowania systemów ochrony danych osobowych do zmian w przepisach.
W okresie obowiązywania ustawy istniały do tej pory 3 istotnie różniące się wersje: z 1997, z 2002
i z 2004 roku. Zmiany wprowadzone między 1997 a 2002 rokiem w przypadku bibliotek nie
powodowały raczej konieczności aktualizacji wniosków rejestracyjnych z wyjątkiem być może
rozszerzenia zakresu przetwarzanych danych jako konsekwencji zmiany definicji danych
osobowych. Zmiany wprowadzone w roku 2004 były znaczące, szczególnie w warstwie
wymaganych środków organizacyjnych i technicznych oraz dokumentacji systemu.
Administratorzy danych mieli czas do 1 listopada 2004 na dostosowanie swoich systemów do
nowych wymagań i 30 dni od daty wprowadzenia zmian w systemie i zbiorach na zaktualizowanie
wniosków rejestracyjnych w przypadku zbiorów podlegających rejestracji.
Jakie przepisy uległy zmianie przy nowelizacji ? Wyliczenie wybranych zmian w przepisach,
szczególnie tych mogących mieć zastosowanie w bibliotekach, znajduje się w załączniku. Należy
pamiętać, że bardzo istotnie zmieniło się również rozporządzenie określające warunki
organizacyjne i techniczne dla urządzeń i systemów informatycznych służących do przetwarzania
danych osobowych.
W okresie obowiązywania ustawy nie była przeprowadzona ani jedna kontrola GIODO w
bibliotekach publicznych (wg informacji zawartych w sprawozdaniach GIODO).
Statystyki rozmiaru baz danych w bibliotekach
Skalę przetwarzania danych osobowych przez biblioteki publiczne mogą zilustrować dane
statystyczne z małego rocznika statystycznego [10]. W 2004 roku na ok. 8,7 tys. bibliotek
publicznych i ich filii ok. 5,7 tys. znajdowało się na wsi a 3,1 tys. w miastach. Biblioteki wiejskie
obsługiwały ok. 1,9 mln czytelników, miejskie - ok. 5,6 mln czytelników. Średnia liczba
czytelników na pojedynczą bibliotekę lub filię wynosiła więc ok. 330 na wsi i 1800 w miastach,
przy czym w sytuacji gdy zbiory są scentralizowane, a tak często jest w systemach informatycznych
obsługujących szczególnie większe biblioteki, w pojedynczym miejscu przetwarzane będą zbiory
wielokrotnie liczniejsze, liczące być może po kilkadziesiąt tysięcy rekordów.
Statystyki komputeryzacji bibliotek
Od roku 2000 do roku 2004 znacząco wzrosła liczba skomputeryzowanych lub komputeryzujących
się placówek bibliotecznych - z 9% do 25%. Z tego tylko 3,4% placówek było w 2004 roku
skomputeryzowanych w pełni (ok. 8% placówek w miastach i 0,64% placówek na wsi). Łączna
liczba instalacji systemów bibliotecznych wynosiła w 2004 roku 1599 placówek. Dane te pochodzą
z opracowania [11].
Co pocieszające, na liście przeszkód w procesie komputeryzacji bibliotek, zamieszczonej w
powyższym opracowaniu, nie figuruje problem ochrony danych osobowych i dostosowania
bibliotek do wymagań przepisów o ochronie danych osobowych.
Spełnianie wymogów ustawy przez systemy informatyczne do obsługi
bibliotek
Liczba systemów informatycznych do obsługi bibliotek jest pokaźna - można się o tym przekonać
czytając opracowanie pt. Polskie programy biblioteczne dla małych i średnich bibliotek publicznych
[12] i jego suplement z 2004 roku [13]. Lektura tych materiałów raportu prowadzi do wniosku, iż
zagadnienia ochrony danych osobowych czytelników nie zostały w tych systemach uwzględnione.
Własne doświadczenia oraz wyniki ankiety przeprowadzonej przez autora na potrzeby niniejszego
artykułu wśród kilku producentów popularnych systemów informatycznych dla bibliotek pozwalają
na obserwację, iż sytuacja ulega powolnej poprawie w tym względzie.
Podsumowanie
Wydaje się, iż sytuacja jest więc następująca:
- biblioteki przetwarzają dane osobowe
- temat ochrony danych osobowych znany jest większości bibliotek publicznych
- większość wniosków o rejestrację zbiorów danych osobowych czytelników złożono w latach
1999-2000
- biblioteki w niewielkim stopniu realizowały obowiązek dostosowania wniosków rejestracyjnych
do wymagań nowelizowanych przepisów
- wydaje się prawdopodobne, iż biblioteki w równie niewielkim stopniu dostosowywały swoje
systemy ochrony do zmian w przepisach
- postępująca w dość szybkim tempie komputeryzacja bazuje na wielu przypadkach na systemach
niespełniających ustawowych wymagań dla systemów przetwarzających dane osobowe
Czy warto zmieniać tę sytuację ?
Czym grozi ignorowanie przepisów o ochronie danych osobowych ? Możliwe są:
- sankcje karne,
- kontrole GIODO i decyzje administracyjne wydawane na skutek kontroli,
- procesy cywilne i odszkodowania.
Dane dotyczące skazań na podstawie przepisów karnych zawartych w ustawie o ochronie danych
osobowych znaleźć można na stronach internetowych Ministerstwa Sprawiedliwości
http://www.ms.gov.pl/statystyki/2004-prawomocne.pdf. Poniżej w tabelce przedstawiono liczby
prawomocnie skazanych osób dorosłych w podziale według roku i przepisu karnego ustawy o
ochronie danych osobowych (dane za rok 1998 obejmują okres 1.09-31.12):
1998
łącznie
Art. 49 ust. 1
-
1999
2000
2001
2002
2003
2004
1
13
10
12
9
35
1
3
-
3
1
8
Art. 49 ust. 2
1
1
Art. 50
1
Art. 51 ust. 1
6
6
2
5
13
Art. 51 ust. 2
2
1
1
2
4
Art. 52
1
1
5
1
7
Art. 53
1
Art. 54
1
1
-
1
Dane dotyczące kontroli i zawiadomień o popełnieniu przestępstwa znajdują się na stronach
GIODO (http://www.giodo.gov.pl/246/). Jak widać liczba kontroli przeprowadzanych co roku to
ok. 100-200. Przeciętnie w połowie przypadków dochodzi do zawiadomienia prokuratury. Skazania
były omówione wcześniej. Decyzje administracyjne wydawane przez GIODO w wyniku kontroli
mogą zawierać następujące nakazy:
- usunięcie uchybień,
- uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych
osobowych,
- zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
- wstrzymanie przekazywania danych osobowych do państwa trzeciego,
- zabezpieczenie danych lub przekazanie ich innym podmiotom,
- usunięcie danych osobowych
a jeżeli decyzja jest wydawana w czasie trwania postępowania rejestracyjnego to może nakazywać
również ograniczenie przetwarzania wszystkich albo niektórych kategorii danych do ich
przechowywania.
Procesy cywilne o odszkodowanie za szkody w wyniku przetwarzania danych osobowych są trudne
do syntetycznego scharakteryzowania pod względem liczby i przyznanych odszkodowań, wiadomo
jednak że takie sprawy miały miejsce i kończyły się zasądzeniem odszkodowania.
Dotychczasowe doświadczenia wskazują na to, iż biblioteki i ich kierownictwa nie postrzegają
powyższych czynników jako dostatecznie poważnych. Być może pora jest więc na pewną zmianę
perspektywy patrzenia na przepisy ustawy o ochronie danych osobowych i wykorzystanie jej jako
środka pomocnego dla zapewnienia prawidłowego skomputeryzowania biblioteki. W obliczu coraz
większego uzależnienia bibliotek od systemów informatycznych, coraz większego uczestnictwa
bibliotek w sieci internet i coraz szerszego spektrum elektronicznych usług świadczonych
czytelnikom warto potraktować przepisy o ochronie danych osobowych jako punkt wyjścia do
wprowadzenia w bibliotekach podstawowych zasad zabezpieczenia systemów informatycznych i
informacji w nich zawartych. Przepisy te zawierają bowiem wiele elementów, które należą do tzw.
dobrej praktyki w obszarze ochrony informacji i bezpieczeństwa systemów informatycznych i
które, jak się wydaje warto rozciągnąć, przynajmniej co do zasady jeśli nie konkretnych środków,
na wszystkie systemu informatyczne funkcjonujące w bibliotekach, bez względu na to czy
przetwarzają dane osobowe czy nie. Z praktyki można przytoczyć sytuacje, gdy w trakcie
wdrażania systemu ochrony danych osobowych wychodziły na jaw takie sprawy jak np. brak kopii
zapasowych i archiwalnych danych księgowych.
Dodatkową korzyścią z opracowania i wprowadzenia systemu ochrony danych osobowych,
szczególnie w bibliotekach wielooddziałowych, może być ujednolicenie a nawet usprawnienie tych
procesów, w których następuje przetwarzanie danych czytelników, a więc tych najważniejszych z
punktu widzenia klientów biblioteki.
Wdrażając system ochrony danych osobowych warto zastosować tzw. procesowe podejście do
zarządzania, w tym wypadku zarządzania bezpieczeństwem informacji. Takie podejście,
analogiczne do stosowanego w systemach zarządzania jakością, w sferze bezpieczeństwa informacji
ujęte jest w normie ISO/IEC 27001 (wkrótce powinno pojawić się polskie wydanie tej normy,
obecnie dostępna jest wcześniejsza wersja znana jako PN I-07999-2). Podejście procesowe jest
ukierunkowane na wykrywanie niezgodności, analizowanie ich przyczyn i doskonalenie systemu
eliminujące wykryte przyczyny występowania niezgodności. Zakres systemu może być określony
przez administratora danych (nie musi obejmować całej jednostki i wszystkich jej zadań). Poziom
zabezpieczeń jaki powinien być zastosowany jest natomiast efektem przeprowadzenia analizy
ryzyka (centralnego elementu takich systemów). Celem tego działania jest wybranie zabezpieczeń,
które odpowiadają celom jednostki oraz zidentyfikowanym zagrożeniom i ich skali. System
zarządzania bezpieczeństwem wymusza jednocześnie szereg działań porządkujących
funkcjonowanie jednostki (nadzór nad dokumentami i zapisami, okresowe przeglądy systemu).
Etapy wdrożenia systemu ochrony danych osobowych
W idealnym przypadku system ochrony danych osobowych powinien być wdrożony w momencie
rozpoczęcia przetwarzania danych osobowych. W praktyce rozpoczęcie eksploatacji systemu
informatycznego wyprzedza często kroki służące zapewnieniu ochrony danych. Powoduje to
problemy ze spełnieniem wielu wymagań ustawy. Części z nich można by uniknąć uwzględniając
potrzebę ochrony danych osobowych na etapie projektu systemu informatycznego. Takie podejście
zmniejsza też ryzyko odrzucenia lub sabotowania narzuconych rozwiązań gdyż pracownicy
postrzegają je jako naturalnie związane z nowym systemem. Jeżeli natomiast system funkcjonował
poprawnie z ich punktu widzenia bez zabezpieczeń a następnie wprowadza zabezpieczenia i zmusza
przez to do działań utrudniających ich pracę lub nawet tylko zmieniających ich nawyki, to naturalny
jest opór z ich strony.
W proces wdrażania systemu przetwarzającego dane osobowe należy więc włączyć następujące
elementy związane z zapewnieniem ochrony danych osobowych w tym systemie:
W
W
W
W
W
W
W
identyfikacja przetwarzanych danych osobowych (zbiorów i zakresów danych),
określenie podstawy prawnej dla ich przetwarzania,
określenie czy zbiór podlega rejestracji,
określenie obszarów przetwarzania danych osobowych,
określenie wymaganego poziomu zabezpieczeń,
skonfigurowanie aplikacji w taki sposób, aby spełnione były wymagania na funkcjonalność lub
uzupełnienie jej o odpowiednią funkcjonalność,
wybór zabezpieczeń organizacyjnych i technicznych,
W
W
W
W
W
opracowanie dokumentacji,
zatwierdzenie dokumentacji,
rejestracja zbioru,
szkolenie użytkowników,
monitorowanie i przeglądy systemu.
W praktyce oczywiście kroki te mogą się nakładać na siebie i powtarzać a wszystkie razem tworzą
cykl, który powinien być okresowo powtarzany przy okazji przeglądów systemu i jego aktualizacji.
Dla przypomnienia: zbiory danych niewrażliwych można przetwarzać od momentu zgłoszenia do
rejestracji, o ile taki obowiązek istnieje. Zbiory danych wrażliwych, które podlegają obowiązkowi
rejestracji, można przetwarzać po ich zarejestrowaniu przez GIODO. W każdym przypadku,
również gdy nie zachodzi potrzeba rejestracji, przy przetwarzaniu danych osobowych należy
zapewnić ich ochronę a więc środki ochrony (organizacyjne i techniczne) powinny być wdrożone
przed rozpoczęciem przetwarzania danych (w tym zbierania danych).
Poziom środków technicznych i organizacyjnych
Wymagania określone przez ustawę oraz rozporządzenie można zgrupować w 3 obszarach:
- wymagania w sferze zabezpieczeń organizacyjnych
- wymagania w sferze zabezpieczeń infrastruktury informatycznej
- wymagania w sferze funkcjonalności aplikacji stosowanych do przetwarzania danych osobowych
Ustawa i rozporządzenie określają podstawowe wymagania w tych 3 obszarach ale administrator
nie może automatycznie uznać, że w jego przypadku te minimalne wymagania są wystarczające dla
zabezpieczenia przetwarzanych danych osobowych - choć w praktyce takie podejście przeważa.
Wyobrażenie o potencjalnych środkach organizacyjnych i technicznych daje lista dostępna w
aplikacji e-GIODO (dostępna w trakcie wypełniania wniosku).
Środki organizacyjne i zabezpieczenia infrastruktury informatycznej
Ustawa o ochronie danych osobowych wymaga podjęcia szeregu kroków niezależnie od ilości i
rodzaju przetwarzanych danych osobowych. Są to m.in.
W
W
W
W
W
W
opracowanie dokumentacji systemu ochrony danych osobowych,
wyznaczenie ABI,
wydanie upoważnień osobom przetwarzającym dane osobowe,
prowadzenie ewidencji wydanych upoważnień,
wyznaczenie obszarów przetwarzania danych,
wydanie zgody na przebywania w obszarach przetwarzania danych osób nieupoważnionych do
przetwarzania danych pod nieobecność osób upoważnionych (o ile zachodzi taka potrzeba).
Przy wyznaczeniu ABI należy określić zakres jego obowiązków, gdyż ustawowy zapis o roli ABI
jest bardzo ogólnikowy. Przy wydawaniu upoważnień należy z kolei pamiętać o pobraniu
pokwitowania otrzymania upoważnienia przez upoważnianych pracowników. Upoważnienia
powinien wydać dyrektor biblioteki, reprezentujący administratora danych. Prowadzenie ewidencji
upoważnień jest natomiast najczęściej w rękach ABI.
Należy pamiętać, że wśród osób upoważnionych powinny znaleźć się osoby, które mogą mieć
dostęp do danych mimo, iż nie jest to przewidziane w ich codziennych czynnościach. Takimi
osobami są np. administratorzy systemów informatycznych, przedstawiciele dostawców
oprogramowania. Jeżeli, tak jak to ma często miejsce, biblioteka zatrudnia do obsługi systemów
informatycznych firmę zewnętrzną to można albo upoważnić wskazane przez tę firmę osoby albo
podpisać z firmą umowę o powierzenia przetwarzania danych osobowych, w której to sytuacji na tę
firmę spadnie obowiązek wydania upoważnień (dla biblioteki istotne będzie natomiast aby istniał
mechanizm zapobiegający dopuszczeniu do administrowania systemem osobę niebędącą w
rzeczywistości pracownikiem wybranej firmy). W sytuacji powierzenia przetwarzania danych
osobowych biblioteka powinna określić cel i zakres w jakim dane mogą być przetwarzane przez
kontrahenta oraz zachować sobie prawo do kontroli czy kontrahent realizuje obowiązki wynikające
z ustawy (m.in. wyznaczenie ABI, upoważnienie osób wyznaczonych do prowadzenia prac
konserwacyjnych lub administrowania systemami).
Wśród zabezpieczeń infrastruktury informatycznej wymienić można:
W
W
W
W
W
W
W
W
W
kontrolę dostępu do danych, w tym uwierzytelnienie użytkowników (może być realizowane w
aplikacji), przy czym w przypadku poziomu wysokiego (patrz niżej) niezbędne jest
kryptograficzne zabezpieczenie danych uwierzytelniających przesyłanych w sieci publicznej
nadzór nad nośnikami
wykonywanie kopii zapasowych danych i programów służących do ich przetwarzania
zabezpieczenia przez awariami zasilania
ochronę przed wirusami komputerowymi i innym niepożądanym oprogramowaniem,
ochronę kryptograficzna danych na komputerach przenośnych
ochronę poufności i integralności na nośnikach i urządzeniach poza obszarem przetwarzania
danych (przy poziomie podwyższonym)
usuwanie danych z nośników wycofywanych z użytku, przekazywanych innemu podmiotowi
lub oddawanych do naprawy
ochronę przed nieuprawnionym dostępem z sieci publicznej (w przypadku wysokiego
poziomu): kontrola przepływu informacji oraz kontrola działań inicjowanych z sieci publicznej i
z systemu informatycznego administratora
Część tych wymagań może być realizowana w aplikacji, część w systemie operacyjnym a część
przez specjalizowane oprogramowanie lub urządzenia.
Wymagany poziom zabezpieczeń jest wybierany spośród 3 określonych w rozporządzeniu
poziomów w zależności od tego czy system połączony jest z siecią publiczną (co oznacza wymóg
stosowania wysokiego poziomu zabezpieczeń) a jeśli nie jest, to od tego, czy w systemie są
przetwarzane dane wrażliwe (podwyższony) czy nie (podstawowy).
Jeśli chodzi o wymóg zabezpieczenia danych uwierzytelniających to wydaje się on sformułowany
niefortunnie - należy zadbać również o podobne zabezpieczenie wszystkich danych osobowych
przesyłanych przez sieć publiczną, a dane uwierzytelniające należy chronić we wskazany sposób
również w sieciach lokalnych. Na szczęście większość nowoczesnych systemów realizuje ten
wymóg w odniesieniu do tych danych a zabezpieczenie danych osobowych jest również łatwe do
osiągnięcia. Jednak tam, gdzie stosuje się techniki kryptograficzne należy zapewnić przemyślane i
systematyczne podejście do zarządzania kluczami kryptograficznymi.
Wykonywanie kopii zapasowych oprogramowania ma służyć umożliwieniu odtworzenia systemu
po ewentualnej awarii wraz z ustaloną konfiguracją aplikacji służących do przetwarzania danych
osobowych i w ustalonych wersjach tych aplikacji, tak aby ewentualne różnice w konfiguracji lub
wersji oprogramowania nie doprowadziły do utraty spójności lub integralności zbiorów danych.
Zaleca się wykonywać taką kopię po każdorazowej aktualizacji aplikacji lub zmianie konfiguracji i
stosować do tego osobne nośniki niż dla kopii zapasowych zbioru. Dobrym rozwiązaniem jest
wykonywanie kopii obrazów dysków, co upraszcza i przyspiesza odtwarzanie w razie awarii.
Nośniki kopii zapasowych należy oczywiście nadzorować i przechowywać w zabezpieczonych
miejscach, o ile to możliwe poza główną lokalizacją. Gdyby to nie było możliwe zalecane jest
stosowanie ogniotrwałych sejfów na nośniki magnetyczne ale jest to duży wydatek. Warto również
zwrócić uwagę na dopuszczalną krotność zapisów na nośnikach oraz warunki środowiskowe
przechowywania nośników.
Wymagana funkcjonalność systemów informatycznych
służących do przetwarzania danych osobowych
Funkcjonalność aplikacji służących do przetwarzania danych osobowych wynika przede wszystkim
z przepisów rozporządzenia ale wymagania stawiane dostawcom tych aplikacji powinny być nieco
szersze niż to co zapisane jest w przepisach, aby w pełni wywiązać się z obowiązków
administratora danych.
Elementy funkcjonalności wynikające z rozporządzenia to:
W
W
W
W
W
W
odnotowanie daty pierwszego wprowadzenia danych czytelnika do systemu,
odnotowanie użytkownika (bibliotekarza), który wprowadził dane czytelnika (chyba, że system
informatyczny obsługiwany jest wyłącznie przez jedną osobę),
możliwość odnotowania informacji o źródle danych (w przypadku zbierania danych nie od
osoby, której dane dotyczą); warto przy tym wprowadzić zasadę, że nie zostawia się tego pola
pustego nawet jeżeli dane pochodzą od osoby której dotyczą,
możliwość odnotowania informacji o udostępnianiu danych (odbiorca, data i zakres
udostępnienia) - tego wymagania nie trzeba realizować w systemach przetwarzających dane
zawarte w zbiorach jawnych; w tym miejscu warto również odnotowywać informacje o
przekazaniu danych np. do podmiotu któremu powierzono przetwarzanie danych; należy
odnotowywać udostępnienia do zbioru (z art. 23) i nie do zbioru (z art. 29),
możliwość odnotowania sprzeciwu z art. 32 ust. 1 pkt 8, czyli sprzeciwu wobec przetwarzania
danych w celach marketingowych (jeżeli przetwarzanie następuje z art. 23 ust. 1 pkt 4 lub 5) lub
wobec udostępniania danych innemu administratorowi,
możliwość prezentacji i wydruku raportu zawierającego ww. informacje w powszechnie
zrozumiałej formie, dla każdej osoby której dane są przetwarzane,
przy czym wymagane jest aby pierwsze dwa elementy były realizowane automatycznie przez
system po zatwierdzeniu operacji wprowadzania danych.
Jeśli dane przetwarzane są w więcej niż jednym systemie informatycznym, informacje o
udostępnieniach mogą być odnotowywane w jednym z tych systemów lub w osobnym systemie
służącym do tego celu.
Dodatkowo rozporządzenie nakazuje dołączenie do dokumentacji systemu (polityki
bezpieczeństwa) opisu struktur danych, przechowujących dane osobowe, co w większości
przypadków wymaga współpracy producenta oprogramowania. Jeżeli system nadaje osobom
numery identyfikujące wówczas trzeba wyraźnie określić jakie znaczenie mają elementy tych
numerów.
Wymagania o automatycznym odnotowaniu daty i identyfikatora osoby wprowadzającej dane po
raz pierwszy do systemu stanowią formę zapewnienia tzw. rozliczalności działań. Dobre praktyki w
dziedzinie ochrony informacji zalecają zapewnienie rozliczalności w szerszym zakresie, a więc
umożliwienie zidentyfikowania daty i źródła (osoby) każdej zmiany chronionych danych oraz
automatyczne odnotowanie udostępnienia w każdym wyselekcjonowanym do eksportu
(udostępnienia) rekordzie w przypadku gdy eksportowane jest wiele rekordów na raz.
Niezależnie od wymagań określonych w rozporządzeniu, ustawa sama w sobie stawia pewne
wymagania, które powinny być odzwierciedlone w funkcjonalności systemu informatycznego,
między innymi:
W możliwość sporządzenia raportu dla osoby, której dane dotyczą, zawierającego pełną treść
przetwarzanych danych jej dotyczących - oczywiście powinna to realizować stosowana
aplikacja, przy czym można odnotowywać datę sporządzenia ostatniego takiego raportu w celu
ograniczenia częstości takich żądań do jednego na 6 miesięcy,
W możliwość usunięcia danych z pozostawieniem wyłącznie imienia, nazwiska i PESEL-u lub
adresu, oraz zaznaczenia, że osoba zażądała zaprzestania przetwarzania jej danych (jeżeli
przetwarzanie następuje na podstawie art. 23 ust. 1 pkt 4 lub 5); GIODO zaleca, aby usuwanie
danych osobowych w każdym przypadku odbywało się w sposób uniemożliwiający ich
późniejsze, łatwe odtworzenie – niewystarczające jest ich przenoszenie do innego katalogu lub
oznakowanie znacznikiem „usunięte”, powinny zostać fizycznie zamazane tak, aby nie można
było ich odzyskać z poziomu aplikacji lub systemu operacyjnego,
W w celu zapewnienia dokładności informacji o udostępnieniach danych (co jest wymagane przez
rozporządzenie) wskazane jest, aby te informacje nie były przechowywane w polach typu
"uwagi", w których użytkownicy (bibliotekarze) wpisują notatki, lecz aby były to pola bez
możliwości przypadkowego skasowania wcześniejszych zapisów. Co więcej, w idealnym
systemie powinna istnieć możliwość zidentyfikowania (wyliczenia) tych podmiotów, którym
udostępniono pole danych, którego wartość została następnie poprawiona lub zaktualizowana.
Z punktu widzenia biblioteki jako klienta korzystne byłoby również uzyskanie od dostawców
aplikacji deklaracji zgodności programu z ustawą o ochronie danych osobowych oraz, w ramach
gwarancji a później serwisu, zobowiązania się producentów do wprowadzania zmian
odzwierciedlających ew. zmiany w tej materii.
Obsługa czytelników
Obsługa czytelników to podstawowe zadanie biblioteki a podstawowym narzędziem realizacji tego
zadania jest spis czytelników oraz przyporządkowanie czytelnikom wypożyczonych książek lub
zasobów. Trzeba pamiętać, iż oprócz zapisów w komputerowej bazie danych biblioteki nadal będą
przechowywać tzw. zobowiązania czytelników. Jak wygląda obsługa czytelników (zapisy,
wypożyczenia i zwroty) z punktu widzenia ustawy o ochronie danych osobowych ?
Jak wspomniano, przesłanką legalizującą przetwarzanie danych czytelników (w zakresie
adekwatnym do realizacji zadania ochrony wypożyczanych zbiorów) jest realizacja uprawnienia lub
obowiązku wynikającego z przepisu prawa. Nie jest wskazane, a wręcz źle widziane przez GIODO
występowanie do czytelnika o zgodę na przetwarzanie jego danych osobowych, dla których istnieje
inna przesłanka legalizująca ich przetwarzanie. Wystarczy podpis akceptujący regulamin biblioteki
i deklarujący chęć korzystania z biblioteki. Jeżeli natomiast zbierane dane mają służyć do innych
celów (np. adres poczty elektronicznej do powiadamiania o imprezach) to należy znaleźć inną
przesłankę legalizującą przetwarzanie (np. zgoda czytelnika).
Należy pamiętać o dopełnieniu obowiązku informacyjnego wobec czytelnika, co może być
zrealizowane przez odpowiedni punkt w regulaminie biblioteki, ogłoszenie w miejscu obsługi
zapisującego się czytelnika lub, co wydaje się korzystniejsze, zamieszczenie stosownego
komunikatu na podpisywanej przez czytelnika karcie zobowiązania.
Zgoda na przetwarzanie danych osobowych jest natomiast wskazana przy zbieraniu danych osób
upoważnionych do korzystania z czyjegoś konta - po pierwsze brak innej przesłanki do
przetwarzania danych tych osób, ponadto, gdy są one zbierane od właściciela konta (a więc nie od
osoby, której dotyczą) wówczas należy spełnić tzw. wtórny obowiązek informacyjny - obie te
powinności można załatwić równocześnie za pomocą formularza, na którym osoba upoważniona
udzieli zgody na przetwarzanie jej danych osobowych a jednocześnie będzie poinformowana o
administratorze danych, celu przetwarzania itd. zgodnie z wymogami ustawy. Zazwyczaj osoba
taka jest rejestrowana w bazie czytelników jako regularny czytelnik ze wskazaniem na nią w
rekordzie osoby, do której konta zyskuje upoważnienie. Nic nie stoi na przeszkodzie, a w zasadzie
byłoby właściwe, aby osoby upoważnione wyróżniać w systemie w szczególny sposób, szczególnie
jeżeli z racji upoważnienia mają inne, być może mniejsze uprawnienia niż regularni użytkownicy.
Struktury danych w systemie obsługi czytelników powinny być zaprojektowane tak, aby
uwzględniać te przypadki – m.in. po to, aby łatwo było zrealizować obowiązek informacyjny na
żądanie osoby upoważnionej (art. 32 ustawy, w tym celu trzeba odnaleźć jej dane) oraz zapewnić
możliwość usunięcia jej danych w przypadku wycofania udzielonej zgody.
Jeżeli biblioteka ma podległe filie lub oddziały, ew. punkty biblioteczne, to zalecane jest
traktowanie danych czytelników przechowywanych w tych placówkach jako podzbiorów głównego
zbioru czytelników biblioteki. To wydaje się naturalne w przypadku scentralizowanego systemu
bibliotecznego, ale w placówkach nadal pozostają zobowiązania czytelników, które trzeba
traktować jako część zbioru danych czytelników (a więc zbiór będzie rozproszony), a w przypadku
starszych systemów bibliotecznych również bazy czytelników są rozproszone, co nie przeszkadza w
traktowaniu ich jako części głównego zbioru.
Jeśli chodzi o zakres przetwarzanych danych to warto zwrócić uwagę na to, iż zgodnie z ustawą, za
dane osobowe uważa się wszelkie dane dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby a więc w bibliotekach będą to również informacje o wypożyczonych lub
zarezerwowanych do wypożyczenia książkach. W niektórych systemach może istnieć wybór
między przechowywaniem całej historii wypożyczeń lub tylko bieżących wypożyczeń. Ten wybór
rzutuje m.in. na zakres raportu, który sporządzić należy na wniosek czytelnika powołujący się na
art. 32 ust. 1 pkt 3 ustawy. Pamiętać też trzeba, że historia wypożyczeń powiązana z czytelnikami
może zwiększać atrakcyjność bazy czytelników dla potencjalnych złodziei danych.
Warto też ustalić okres czasu przez jaki dane osobowe czytelników są przechowywane mając na
względzie 2 sytuacje: zaprzestanie przez czytelnika z korzystania z biblioteki bez deklarowania
takich intencji bibliotece oraz wypisanie się osoby na własną prośbę z grona czytelników.
Zastosowanie ma tu jedna z ważniejszych zasad przetwarzania danych, zawarta w art. 26 ust. 1
ustawy:
Administrator ... w szczególności jest obowiązany zapewnić, aby dane te były:
...
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest
to niezbędne do osiągnięcia celu przetwarzania
W pierwszym przypadku okres ten powinien być tak dobrany aby nie powodować niepotrzebnego
wypisywania i zapisywania czytelnika robiącego dłuższą przerwę w korzystaniu z biblioteki.
Wydaje się, że stosowane okresy 5 lat od daty ostatniego wypożyczenia (zwrotu) są pod tym
względem akceptowalne. W drugim przypadku należy ustalić okres biorąc pod uwagę ewentualne
powiązanie czytelnika np. z zapisami w dziennikach zdarzeń systemów informatycznych i
możliwością wszczęcia dochodzenia wykorzystującego te dzienniki przez pełen okres ich
przechowywania (który też powinien być ustalony i ograniczony), jeżeli czytelnicy z takich
systemów korzystają a ich działania w tych systemach są identyfikowane poprzez odwołanie do
zbioru czytelników.
Obsługa czytelników przez internet
Coraz więcej systemów pozwala na zdalny dostęp użytkowników do katalogu książek, do
informacji o stanie własnego konta i do usług rezerwacji książek przez internet. Jak traktować tego
rodzaju dostęp ? Czy osoby takie są użytkownikami systemu ? Jeśli tak, to czy muszą mieć
upoważnienia wydane przez administratora i zmieniać co 30 dni hasło ?
Najlepszym jak się wydaje rozwiązaniem byłoby ograniczyć informacje widoczne po zalogowaniu
się do systemu do informacji nie stanowiących danych osobowych. Problemem w takich systemach
jest bowiem najczęściej słabość haseł używanych przez czytelników i brak akceptacji
użytkowników do stosowania dłuższych i częściej zmiennych haseł, co powoduje że
prawdopodobieństwo skutecznego zalogowania się na czyjeś konto jest niepomijalne. W takim
przypadku administrator danych mógłby narazić się na zarzut udostępnienia danych osobie
nieupoważnionej co zagrożone jest poważnymi konsekwencjami. Zabezpieczeniem przeciw takim
zagrożeniom byłby system wykrywania włamań identyfikujący próby nieprawidłowego logowania
się do systemu i zapobiegający im.
Obsługa publicznego dostępu do internetu
Zapewnienie publicznego dostępu do internetu wiąże się na kilka sposobów z ochroną danych
osobowych. Po pierwsze, planując taką usługę należy zadbać aby oddzielić przeznaczone do tego
komputery od komputerów służących do przetwarzania innych zbiorów danych osobowych, takich
jak zbiory czytelników lub zbiory pracowników. Po drugie trzeba liczyć się z tym, że osoby które
przychodzą korzystać z tych komputerów mogą nieświadomie zostawić na nich dane osobowe
swoje lub innych osób (oprócz danych osobowych mogą to być również inne cenne dane - np. hasła
dostępu do serwisów bankowych lub numery kart kredytowych). Aby zapobiec ujawnieniu tych
danych, co mogłoby wiązać się z zarzutami wobec biblioteki, można i warto stosować narzędzia,
które kasują zawartość pozostawioną przez użytkownika i przywracają oryginalną konfigurację
przed udostępnieniem komputera następnej osobie. Przykładem takiego darmowego programowego
narzędzia jest Microsoft Shared Computer Toolkit ale nie brakuje też innych, programowych lub
sprzętowych.
Mimo ryzyka, że na tych komputerach pojawią się dane osobowe wprowadzone przez
użytkowników, dopóki użytkownikami są osoby fizyczne można nie stosować wobec tych
systemów wymagań zapisanych w rozporządzeniu i ustawie. Dla uzasadnienia takiego stanowiska
można przywołać sprawę opisaną w sprawozdaniu GIODO za rok 2005:
Podczas jednej z kontroli odnotowano sytuacje, w której dane osobowe przetwarzane były z
wykorzystaniem tego samego serwera i przy użyciu tego samego systemu informatycznego, zarówno
przez osoby fizyczne do celów osobistych, jak również przez podmioty gospodarcze w celach
służbowych. Co więcej, serwer i system informatyczny udostępniany był przez podmiot trzeci. W
sytuacji tej uznano, że administratorem danych są podmioty wykorzystujące udostępnione im środki
techniczne, ponieważ to one decydują w takich przypadkach o celach i środkach przetwarzania
danych, a nie podmiot udostępniający system informatyczny. Zauważyć należy jednak, że
administrator danych decydujący sie na wykorzystanie udostępnionej przez inny podmiot
infrastruktury informatycznej powinien pamiętać o tym, że wybierany przez niego system
informatyczny musi spełniać wymagania ustawy. Z kolei, na podstawie art. 3a ust.1 pkt1, uznano
również, że wymagania te nie musza być spełnione w przypadku, gdy dane przetwarzane są w tym
systemie przez osobę fizyczna do celów osobistych. Mamy tu do czynienia z sytuacja, w której
zgodność systemu informatycznego z wymaganiami określonymi w ustawie i rozporządzeniu jest lub
nie jest wymagana, w zależności od tego, przez kogo system ten będzie wykorzystywany. Zgodność
taka formalnie może być bowiem wymaga tylko wtedy, gdy system ten wykorzystywany będzie przez
podmioty lub osoby podlegające przepisom ustawy.
Prócz spraw wynikających z możliwości pozostawienia danych osobowych na stanowiskach
publicznego dostępu do internetu warto też pamiętać o prawidłowym rozwiązaniu kwestii
rejestrowania użytkowników tych stanowisk. Z wielu względów może być pożądane legitymowanie
i rejestrowanie osób które taki dostęp mają uzyskać. Nie zawsze są to zarejestrowani czytelnicy, co
pozwalałoby uniknąć traktowania tego rejestru jako osobnego zbioru danych osobowych. Tworząc
taki rejestr w formie papierowej warto pamiętać o 2 rzeczach: nie powinien on pozwolić
rejestrującym się osobom na poznanie danych wcześniej zarejestrowanych - wyklucza to więc
rozwiązanie typu dziennik do którego użytkownicy sami wpisują swoje dane w kolejnych
wierszach. Po drugie, czas przechowywania danych powinien być skorelowany z czasem
przechowywania elektronicznych logów aktywności - po tym czasie celowość trzymania rejestru
jest wątpliwa.
Problemy napotykane przy wdrażaniu systemów ochrony
danych osobowych w bibliotekach
Oprócz podstawowego problemu jakim jest brak odpowiedniej funkcjonalności w aplikacjach, w
procesie wdrażania systemu ochrony danych osobowych w bibliotekach spotyka się również
następujące przeszkody:
µ wymóg stosowania haseł przez użytkowników-bibliotekarzy jest trudny do zaakceptowania
przy stosowanych procedurach pracy w bibliotekach
µ wyposażenie bibliotek stanowią często stare komputery i systemy operacyjne co wymusza
stosowanie starych wersji aplikacji; stare systemy operacyjne, poza niższym wbudowanym
poziomem bezpieczeństwa (brak separacji użytkowników i procesów, brak bezpiecznych
mechanizmów ochrony haseł i uwierzytelnienia, bezpiecznego przechowywania logów),
często nie są już wspierane przez producentów co skutkuje brakiem aktualizacji
bezpieczeństwa a to sprzyja próbom nieuprawnionego dostępu, propagacji wirusów
komputerowych itp.
µ brak regularnej aktualizacji systemów operacyjnych i aplikacji oraz oprogramowania
antywirusowego
µ brak prawidłowego postępowania z kopiami zapasowymi i archiwalnymi (brak kopii
konfiguracji oprogramowania, brak rotacji nośników) oraz brak ewidencji i nadzoru nad
nośnikami (dyskami twardymi i taśmami)
µ brak dostatecznych środków fizycznej ochrony serwerów i stanowisk komputerowych (brak
wydzielonych pomieszczeń na serwery)
µ brak egzekwowania zmiany haseł i utrzymania poufności haseł
µ stosowanie domyślnych ustawień zabezpieczeń w serwerach, stacjach roboczych i
urządzeniach sieciowych
µ brak nadzoru nad administratorami systemów informatycznych (brak dostatecznej wiedzy
po stronie ABI), brak planowania na wypadek ich niedostępności
µ brak zarządzania kluczami kryptograficznymi
µ brak zakazu zabierania danych do domu i brak technicznych możliwości egzekwowania
takiego zakazu
µ brak ograniczenia uprawnień użytkowników (bibliotekarzy)
µ brak polityki postępowania z logami, w szczególności z logami ze stanowisk internetowych
µ brak dostatecznie silnego usytuowania ABI w jednostce organizacyjnej, pozwalającego
eliminować dostrzeżone i utrwalone nieprawidłowości oraz prowadzić działania
zapobiegawcze np. przeglądy systemu ochrony danych osobowych
µ brak systemu rejestrowania, wyjaśniania i analizy przyczyn incydentów, co pozwala
doskonalić system ochrony danych osobowych
Zakończenie
Czy dane w bibliotekach są na tyle cenne aby uzasadniać wdrażanie zabezpieczeń ? Powracając do
wyliczeń i rozważań podanych na wstępie można uznać za prawdopodobne występowanie w
niektórych bibliotekach publicznych zbiorów danych czytelników liczących dziesiątki tysięcy osób.
Zakładając, że oprócz podstawowych danych jakimi są imię, nazwisko, adres, adres poczty
elektronicznej, numer PESEL, w zbiorze przetwarzane są również informacje o kategorii wiekowej
i kategorii zatrudnienia (w odpowiedzi na wymagania wynikające z przepisów o statystyce
publicznej) oraz informacje o wypożyczeniach, w tym o historii tych wypożyczeń, atrakcyjność
takiego zbioru dla osób zainteresowanych dotarciem do klienta z precyzyjnie wybraną reklamą
towaru (np. książki ale niekoniecznie) może być znaczna. W takiej sytuacji celowe staje się
przedsięwzięcie skutecznych kroków w celu ograniczenia ryzyka udostępnienia takich danych
osobom nieupoważnionym. Do takich przedsięwzięć należy zarówno staranny projekt struktury
zbiorów (unikanie wiązania danych gromadzonych na potrzeby statystyki z danymi osobowymi,
usuwanie informacji o wypożyczeniach po zwrocie wypożyczonych materiałów), stosowanie
skutecznych środków organizacyjnych i technicznych wynikających z ustawy o ochronie danych
osobowych jak i ujęcie tych środków w ramy systemu pozwalającego na efektywne zarządzanie
nimi i adaptowanie do zmieniających się sytuacji i zagrożeń.
Należy również pamiętać że omówione w niniejszym artykule zbiory czytelników nie są jedynymi
zbiorami danych osobowych w bibliotekach publicznych. Wśród innych takich zbiorów na pewno
jest zbiór danych pracowników, przetwarzany w postaci tradycyjnej w formie akt osobowych ale
najczęściej również w postaci elektronicznej w systemach kadrowo-płacowych. Nie są rzadkim
przypadkiem tzw. czarne listy czytelników, przetwarzane poza głównym zbiorem (tak aby nie
dopuścić do zarejestrowania się tej osoby), mogą się zdarzać też listy osób fizycznych –
darczyńców, uczestników i laureatów konkursów organizowanych przez biblioteki a także listy
osób niebędących czytelnikami ale zainteresowanych udziałem w imprezach kulturalnych
organizowanych przez biblioteki. W tych wszystkich przypadkach (poza zbiorami pracowników)
należy rozważyć starannie podstawę prawną oraz obowiązek rejestracji zbioru. Nietrywialnym
może okazać się przypadek sporządzenia przez bibliotekę (elektronicznego lub tradycyjnego)
katalogu biografii autorów książek, gdyż pewne informacje zamieszczone w takim zbiorze mogą
być potraktowane jako dane osobowe gdy dotyczą powszechnie rozpoznawanej osoby autora, a
jednocześnie należy pamiętać, iż ustawa nie pozwala na przetwarzanie danych osobowych tylko na
tej podstawie, że są publicznie znane (np. opublikowane w notach biograficznych książek lub na
stronach internetowych współczesnych autorów), choć paradoksalnie jest to możliwe w przypadku
danych wrażliwych opublikowanych przez osobę której dotyczą.
W przypadku małych bibliotek stojących przed wyzwaniami wynikającymi z ochrony danych
osobowych korzystne wydaje się wykorzystanie współpracy w ramach sieci bibliotecznej i
środowisk bibliotekarskich. Przykładami takich działań są wypracowanie wspólnego szablonu i
wytycznych do wypełniania wniosków rejestracyjnych (szczególnie pól dot. przesłanki legalizującej
przetwarzanie), utworzenie forum wymiany informacji nt. zgodności aplikacji z wymogami ustawy
oraz utworzenie sieci współpracy bibliotecznych ABI. Warto również wymieniać się informacjami i
doświadczeniami nt. bezpłatnych programów do zabezpieczania sieci, jakich wiele jest dostępnych
w internecie.
Źródła
[1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
[2] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
[3] Ustawa z dnia 27 czerwca 1997 r. o bibliotekach
[4] Ustawa z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej
[5] Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej
[6] Sprawozdania z działalności GIODO, http://www.giodo.gov.pl
[7] Rejestr zbiorów danych osobowych, http://egiodo.giodo.gov.pl
[8] „Biblioteki publiczne w liczbach”, dane z raportu Program operacyjny "Promocja czytelnictwa"
http://www.ebib.info/serwisy/promocja_czytelnictwa.pdf)
[9] L. Biliński, "Biblioteki a zarejestrowanie zbiorów danych osobowych. Oskarżenia przeciw bibliotekom",
Bibliotekarz nr 1/2002, str. 36-37
[10] Mały rocznik statystyczny
http://www.stat.gov.pl/opracowania_zbiorcze/maly_rocznik_stat/2005/11_kul_tur_spo.pdf
[11] Raport o stanie automatyzacji bibliotek publicznych,
http://www.wbpg.org.pl/include/raport/Winogrodzka%20KatarzynaRaport%20o%20%20%20%20stanie%20automatyzacji%20bibliotek%20publicznych%202004-prez.pdf
[12] Polskie programy biblioteczne dla małych i średnich bibliotek publicznych. Raport 2002; w: Komputeryzacja i
informacja elektroniczna w bibliotekach publicznych, red. E. Górska. – Warszawa, 2003. – S. 39-78
http://ultra.ap.krakow.pl/~wmkolasa/raport/
[13] Suplement do raportu o polskich programach bibliotecznych
http://www.ap.krakow.pl/dlibra/Content/4/raport2004.djvu?applet=yes
[14] ISO/IEC 27001 Security techniques – Information Security Management Systems – Requirements.
Załącznik nr 1
Poniżej wymieniono wybrane zmiany w przepisach, a mianowicie takie, które mogą powodować
konieczność dokonania zmian w tych systemach ochrony danych osobowych, które nie były od
dłuższego czasu aktualizowane. Nie jest zagwarantowana kompletność ani bezbłędność tej listy.
Zmiany pomiędzy 1997 i 2002 rokiem
1. (art. 6) zmieniono definicję danych osobowych: z "informacji dotyczącej osoby fizycznej,
pozwalającej na określenie tożsamości tej osoby" na "wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej", dodając wyjaśnienie pojęcia
identyfikacji lub możliwości identyfikacji
2. (art. 24 ust. 2) dodano nowy przypadek pozwalający na pominięcie obowiązku informacyjnego
- jeżeli osoba posiada już informacje o których mowa
3. (art. 25 ust. 2) dodano 2 nowe przypadki zwolnienia z tzw. wtórnego obowiązku informacyjnego
- dane są przetwarzane na podstawie przepisów prawa przez administratorów będących organami
państwowymi lub samorządowymi, jednostkami organizacyjnymi państwowymi lub komunalnymi
lub podmiotami realizującymi zadania publiczne
- osoba której dane dotyczą posiada już informacje o których mowa
4. (art. 27 i art. 28) rozszerzono katalog danych wrażliwych o informacje o skazaniach,
jednocześnie usuwając przepis szczególny dla tego przypadku
5. (art. 32) zezwolono na pozostawienie w zbiorach imienia, nazwiska i numeru PESEL lub adresu
w celu uniknięcia powtórnego użycia danych objętych sprzeciwem
6. (art. 35) wprowadzono obowiązek propagowania zmian w przetwarzanych danych osobowych do
administratorów którym te dane przekazano
7. (art. 36) rozszerzono katalog zagrożeń o przetwarzanie z naruszeniem ustawy, zmianę lub utratę
8. (art. 41) rozszerzono zakres informacji we wniosku rejestracyjnym o:
- informacje o odbiorcach lub kategoriach odbiorców
- informacje o ew. przekazywaniu za granicę
Zmiany pomiędzy 2002 i 2004 rokiem
1. (art. 2 ust. 2) zmieniono przedmiotowy zakres obowiązywania ustawy
- uściślono że zakres obejmuje przetwarzanie danych w systemach informatycznych również poza
zbiorami danych
2. (art. 14) zezwolono inspektorom w trakcie kontroli na wstęp do pomieszczeń w których
przetwarza się dane osobowe poza zbiorem
3. (art. 15 ust. 1) przeredagowano zapis mówiący o obowiązkach administratora danych wobec
kontrolerów
4. (art. 23) zmieniono brzmienie m.in. 2. przesłanki legalizującej przetwarzanie danych osobowych:
- "gdy zezwalają na to przepisy prawa" zastąpiono przez "gdy jest to niezbędne dla zrealizowania
uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa"
5. (art. 25) zlikwidowano wyłączenie z wtórnego obowiązku informacyjnego dla organów
państwowych i samorządowych oraz jednostek organizacyjnych państwowych i komunalnych oraz
podmiotów niepaństwowych realizujących zadania publiczne
6. (art. 33 ust. 1) przeredagowano zapis dotyczący udzielania odpowiedzi osobom których dane są
przetwarzane, wskazując że odpowiedź powinna zawierać informacje z art. 32 ust. 1 pkt 1-5a
7. przepisami rozdziału 5. objęto zabezpieczenie danych osobowych a nie tylko zbiorów danych
osobowych; ponadto:
- wprowadzono obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych i
środki zabezpieczeń (art. 36 ust. 2)
- wprowadzono funkcję administratora bezpieczeństwa informacji (art. 36 ust. 3)
- postanowiono że upoważnienia mają być wydawane osobom przetwarzającym dane osobowe a nie
obsługującym systemy informatyczne i urządzenia wchodzące w ich skład - co oznacza że
upoważnienia są również potrzebne do przetwarzania danych osobowych poza systemami
informatycznymi - wcześniej wystarczył wpis do ewidencji (art. 37)
- rozciągnięto obowiązek kontroli nad tym jakie dane, kiedy i przez kogo są wprowadzane oraz
komu są przekazywane na wszystkie zbiory, nie tylko te prowadzone w systemach informatycznych
(art. 38)
- określono zakres ewidencji osób upoważnionych (art. 39 ust. 1), zastępując wcześniejszą
ewidencję osób zatrudnionych co wiązało się ze stosunkiem pracy
- wprowadzono dla osób upoważnionych obowiązek zachowania w tajemnicy sposobów
zabezpieczenia danych osobowych, usuwając jednocześnie uwagę o trwaniu tajemnicy po
zakończeniu zatrudnienia (art. 39 ust. 2)
- wpisano delegację dla MSWiA do wydania rozporządzenia o dokumentacji przetwarzania danych
oraz wymaganiach na urządzenia i systemy informatyczne służące do przetwarzania danych (art.
39a)
8. (art. 41 ust. 1) przeredagowano zakres informacji we wniosku rejestracyjnym uwzględniając lub
dodając m.in.:
- opis kategorii osób których dane są przetwarzane
9. (art. 42 ust. 3. i 4) ograniczono wydawanie zaświadczeń o zarejestrowaniu zbioru tylko do
administratorów tych zbiorów, wprowadzając jednocześnie automatyczne wydawanie takich
zaświadczeń w przypadku zbiorów danych wrażliwych
10. (art. 43 ust. 1 pkt. 4) rozszerzono zwolnienie z obowiązku rejestracji zbiorów na zbiory osób
świadczących administratorowi danych usługi na podstawie umów cywilnoprawnych, ograniczając
jednocześnie to zwolnienie do sytuacji przetwarzania danych w związku z zatrudnieniem lub
świadczeniem usług
11. (art. 44) wprowadzono możliwość usuwania zbiorów z rejestru w przypadku zaprzestania
przetwarzania danych w tym zbiorze lub w przypadku rejestracji z naruszeniem prawa
12.(art. 46) dla zbiorów danych wrażliwych wprowadzono zasadę że przetwarzanie danych może
się rozpocząć dopiero po ich zarejestrowaniu przez GIODO
Załącznik nr 2
Porównanie cech wybranych programów bibliotecznych z punktu widzenia funkcjonalności
wymaganej przez ustawę i rozporządzenie na podstawie odpowiedzi od producentów.
Program nr 1
Program nr 2 Program nr 3 Program nr 4
Program nr 5
odnotowywanie daty TAK
wprowadzenia
rekordu
TAK
TAK
TAK
TAK
odnotowywanie
identyfikatora
bibliotekarza
NIE
TAK
TAK
NIE, można za TAK
pomocą
skryptu
przepisać
login
systemowy
pole do
odnotowywania
informacji o źródle
danych
TAK,
"Uwagi"
NIE
TAK
TAK,
"Uwagi"
TAK
pole do
odnotowywania
informacji o
udostępnieniach
TAK,
"Uwagi"
NIE
TAK
TAK,
"Uwagi"
TAK
pole do
odnotowywania
informacji o
sprzeciwie
TAK,
"Uwagi"
NIE
TAK
TAK,
"Uwagi"
TAK
osobne konta
użytkowników
TAK
TAK
TAK
NIE
TAK
wymuszanie przez NIE
aplikacje złożoności
i częstości zmiany
haseł
NIE, hasło
musi mieć
minimum 5
znaków
NIE
(sprawdzić)
NIE
NIE
wydruk danych
TAK
czytelnika w postaci
formatki
TAK
TAK
TAK
TAK
kasowanie rekordów istnieje
fizyczne
możliwość
kasowanie
fizycznego
rekordu
skasowania
rekordu (a
również
oznaczenia
jako
skasowanego)
fizyczne
kasowanie
rekordu
Fizyczne
kasowanie
rekordu
Fizyczne
zamazywanie
pól rekordu,
zastępowanie
imienia i
nazwiska
informacją
„dane
usunięte”
zdalny dostęp
czytelników do
swoich kont
jest możliwy Brak
informacji
jest możliwy
jest
niemożliwy
Brak
informacji