Kiedy kilka lat temu zostałam poproszona o zajęcie się kwestią ochrony danych osobowych (wtedy jeszcze ABI - administratora bezpieczeństwa informacji, obecnie IOD - inspektora ochrony danych) w bibliotece, moja wiedza na ten temat nie była zbyt obszerna, więc od razu podjęłam się dokształcania w tym kierunku. W tym artykule zbieram informację dla osób, które chcą uporządkować swoją wiedzę związaną z mitycznym RODO i poszukują rzetelnych źródeł informacji. Przestrzegam też, na co nie warto tracić czasu i pieniędzy. Zapraszam do lektury!

Podstawowe akty prawne, które regulują kwestie ochrony danych osobowych w Polsce legendarne rozporządzenie RODO z 2016 roku https://uodo.gov.pl/pl/404/539 oraz polska ustawa o ochronie danych osobowych z 10 maja 2018 roku https://uodo.gov.pl/pl/395/1192 . Towarzyszą im oczywiście inne akty prawne jak Konstytucja czy ustawa o zmianie niektórych ustaw w związku z RODO - pełen ich wykaz znajdziecie w zakładce prawo na stronie Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl/395/1192. 

Strona ta powinna być punktem wyjścia zarówno dla osób poszukujących podstawowej wiedzy o RODO jak i dla Inspektorów Ochrony Danych. Znajdują się tam poradniki, materiały informacyjne i edukacyjne, opinie dotyczące bieżących spraw oraz opisy procedur. Można tam też znaleźć informacje o szkoleniach dla IOD i zapisać się na newsletter. 

Tyle z podstawowych źródeł zewnętrznych. Obecnie każda biblioteka powinna mieć opracowane własne procedury oraz akty wewnętrzne regulujące sprawę ochrony danych osób korzystających z biblioteki i z nią współpracujących. Główne z nich to Polityka Ochrony Danych oraz Opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez placówkę. Biblioteka powinna też prowadzić rejestr czynności przetwarzania danych osobowych.  Ponadto w przypadku przekazywania danych swoich użytkowników innym podmiotom powinna robić to na podstawie umowy powierzenia danych. 

Z jakimi zagadnieniami RODO spotyka się najczęściej pracownik biblioteki z pierwszego frontu kontaktu z Czytelnikiem, czyli zza lady? Po pierwsze musi pamiętać o realizowaniu rozszerzonego obowiązku informacyjnego wobec odbiorców swoich działań. Co to oznacza? Nie mniej i nie więcej fakt, że każdy nowy  użytkownik biblioteki (nie tylko czytelnik, ale i osoba, która zapisuje się na newsletter, korzysta z Facebooka biblioteki, prowadzi korespondencję, bierze udział w różnorodnych wydarzeniach) powinien zostać poinformowany o tym, kto jest administratorem jego danych, jak się może skontaktować z nim, jakie jego dane są przetwarzane, dlaczego oraz jak długo. Oczywiście nie musimy umieć recytować z pamięci całej formułki, ale powinna ona być spisana w widocznym miejscu i przywoływana w odpowiednim momencie, np. podczas zapisu wraz z regulaminem. Podobnie ma się sprawa z monitoringiem - oprócz tego, że pomieszczenia monitorowane powinny być odpowiednio oznakowane, powinniśmy też w widocznym miejscu informować o tym co się dzieje z wizerunkiem, który rejestrują. 

Nie zapominajmy też o osobach korzystających z elektronicznych usług biblioteki. Strona internetowa biblioteki powinna mieć własną Politykę prywatności. Warto o niej pamiętać także w przypadku prowadzenia mediów społecznościowych - nie wszyscy wiedzą, że fanpage każdej strony na Facebooku [Ustawienia > Informacje o stronie > Więcej > Zasady ochrony prywatności].

To oczywiście nie wyczerpuje tematyki RODO dla początkujących. Każdego pracownika biblioteki, który ma jakieś wątpliwości, odsyłam w pierwszej kolejności do IOD w swojej placówce.  On będzie miał kompletne dane na temat tego, jakie grupy odbiorców swoich działań wyłoniła biblioteka, jakie ich dane i na jakich zasadach przetwarza oraz za pośrednictwem jakich narzędzi. Jeżeli takiej osoby nie ma i/lub biblioteka nie ma opracowanej stosownej dokumentacji, czym prędzej powinna się tym zająć. 

Gdzie sięgać po wiedzę o RODO poza aktami prawnymi zewnętrznymi i wewnętrznymi? Na pewno na szkoleniach specjalistycznych. I tutaj chciałam uczulić na to, by przed zapisaniem się na dane szkolenie sprawdzić, czy jest ono prowadzone przez osoby znające realia biblioteczne. Szkolenia ogólne, co sprawdziłam na własnej skórze. poza ogólnym wprowadzeniem do tematu nie są aż tak przydatne. Warto pamiętać, że biblioteki mają swoją specyfikę a procedury RODO, mimo że wszędzie zgodne z tymi samymi aktami nadrzędnymi, to powinny być dopasowane do konkretnych działań, realiów i rozwiązań stosowanych w bibliotece. 

W tym miejscu gorąco polecam dwoje ekspertów:

Sylwia Kiełczewska-Czub (oraz jej pracownicy) i Łukasz Wojciechowski. Oboje prowadzą naprawdę dobre jakościowo, niedrogie i dopasowane do potrzeb bibliotek szkolenia. Sylwia Czub jest inicjatorką studiów podyplomowych z zakresu RODO oraz prowadzi często szkolenia w ramach działań SBP. Zatrudnia specjalistów w temacie i chętnie przyjeżdzają oni na szkolenia indywidualne dla bibliotek. 

Swoją wiedzą dzieli się też za darmo w kilku miejscach online:

na FB: https://www.facebook.com/odo.w.bibliotece

na blogu: https://sylwiaczub.pl/ 

A także w książce “ABC ochrony danych osobowych w bibliotece”

Oboje prowadzili też podcast “Ci od RODO”, którego wszystkie odcinki znajdziecie zebrane tutaj: https://statuo.pl/2020/10/06/ci-od-rodo-podsumowanie/

Jeżeli chodzi o publikacje, w których można szukać wiedzy, to na pewno godny polecenie jest “Kodeks RODO dla bibliotek” dostępny całkowicie za darmo tutaj: https://sylwiaczub.pl/wp-content/uploads/Kodeks-RODO-dla-bibliotek.pl

Poniżej przedstawiam jeszcze krótki wyciąg zasad wspólnych dla każdej biblioteki jeśli chodzi o dane osobowe:
Obowiązujące Akty prawne
• Ustawa o ochronie danych osobowych
• RODO
• dokumenty wewnętrzne: Polityka ochrony danych, Opis technicznych i organizacyjnych środków bezpieczeństwa i powiązane z nimi dokumenty, m. in. ROI

Ochroną danych w bibliotece zajmują się
• Administrator Danych Osobowych – Dyrektor MBP
• Administrator Systemów Informatycznych – Kierownik Działu Informatyzacji
• Inspektor Ochrony Danych

Dane osobowe
Wszystkie dane umożliwiające identyfikację danej osoby:
• imię i nazwisko
• adres e-mail
• wizerunek
• PESEL
dla bibliotekarza także numer czytelnika
• itd.

Podstawowe zasady bezpieczeństwa
• zasady czystego biurka – dokumenty papierowe i nośniki danych należy zabezpieczać na czas opuszczenia stanowiska pracy, kiedy nie są używane przechowuje się je w specjalnych segregatorach, teczkach, szafach, szczególnie poza godzinami pracy należy chować je w zamkniętych szafach, szufladach
• zasady czystego ekranu – w przypadku opuszczania stanowiska pracy, należy zablokować stację roboczą
• zasady czystej drukarki – wszelkie wydruki zawierające dane osobowe zabierane są z drukarki natychmiast po zakończeniu drukowania
• zasady zamykania pomieszczeń – ostatni pracownik opuszczający pomieszczenie, zobowiązany jest do zamknięcia okien oraz drzwi zewnętrznych na klucz wedle wewnętrznych procedur
• zasada poufności - należy zadbać, aby rozmowy na temat danych osobowych nie były prowadzone w obecności osób nieupoważnionych do otrzymania tych informacji
• zasady czystego kosza – nośniki informacji chronionej nie mogą być wyrzucane bez zniszczenia w sposób uniemożliwiający odtworzenie informacji chronionej

Dostęp do przetwarzania danych
dostęp do systemu informatycznego przetwarzającego dane osobowe mają wyłącznie użytkownicy posiadający aktualne upoważnienie do przetwarzania danych osobowych
każdy użytkownik przed przystąpieniem do przetwarzania danych osobowych zapoznaje się z dokumentacją dotyczącą przetwarzania oraz deklaruje zachowanie ich w poufności, co potwierdza własnoręcznym podpisem na oświadczeniu o znajomości stosownych przepisów oraz zobowiązaniu do zachowania w tajemnicy danych osobowych objętych zakresem przetwarzania zarówno w trakcie zatrudnienia, jak i po jego ustaniu oraz zachowania poufności w przedmiocie sposobu ich zabezpieczenia mając pełną świadomość odpowiedzialności karnej za naruszenie przepisów dotyczących ochrony danych osobowych (Rozdział 8 ustawy o ochronie danych osobowych). Podpisanie umowy o prace jest jednoznaczne ze zobowiązaniem się do zachowania w tajemnicy danych osobowych objętych zakresem przetwarzania zarówno w trakcie zatrudnienia, jak i po jego ustaniu oraz zachowania poufności w przedmiocie sposobu ich zabezpieczenia mając pełną świadomość odpowiedzialności karnej za naruszenie przepisów dotyczących ochrony danych osobowych.

Biblioteka powinna wprowadzić bezpieczne zasady dla stosowania haseł w wykorzystywanych systemach informatycznych:
Użytkownik przy pierwszym logowaniu do systemu/aplikacji zobowiązany jest do wprowadzenia własnego hasła, które składa się z co najmniej 8 znaków zawiera małe i wielkie litery oraz cyfry lub znaki specjalne
zakazuje się stosowania powtarzalności haseł
przy wyborze hasła zakazuje się stosowania: swojego identyfikatora w jakiejkolwiek formie, swoich imion, nazwiska, pseudonimu w jakiejkolwiek formie, ogólnie dostępnych informacji o użytkowniku (np. numer telefonu, numer rejestracyjny samochodu), przewidywalnych sekwencji znaków (np. 12345678 lub abcdefgh)
hasła dostępu wyświetlane są na ekranie monitora w formie niejawnej i mogą być znane tylko użytkownikowi
hasła należy wprowadzać w sposób, który uniemożliwia innym osobom ich poznanie
formularzach logowania do systemów, aplikacji internetowych nie należy korzystać z opcji zapamiętywania hasła
hasła powinny być zmieniane regularnie okresowo oraz w sytuacji kiedy zachodzi podejrzenie, że ktoś poznał hasło w sposób nieuprawniony

Objawy wskazujące na zagrożenie związane z systemem informatycznym
• nietypowe działanie aplikacji
• istotne spowolnienie działania systemu informatycznego
• nietypowe komunikaty
• utrata lub modyfikacja danych

Naruszeniem zabezpieczenia danych osobowych jest każdy stwierdzony fakt
• udostępnienia osobie nieupoważnionej
• zabrania danych przez osobę nieuprawnioną
• przetwarzania z naruszeniem ustawy
• nieuprawnionej zmiany
• utraty
• uszkodzenia
• nieuprawnionego zniszczenia

W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego i Administratora Bezpieczeństwa Informacji.

Najczęstsze incydenty ochrony danych osobowych:
• wysłanie wiadomości do niewłaściwego adresata
• niewykorzystywanie opcji „kopii ukrytej”
• Utrata nośników danych (elektroniczne i papierowe)
• Nieuprawnione udostępnienie danych. Także drogą elektroniczną i telefoniczną
• Nieodpowiednie techniki usuwania danych (np. brak niszczarki)

Mam nadzieję, że ten artykuł przygotuje Was na dalsze działania w ramach Miesiąca Tematycznego RODO, zwłaszcza na webinaria prowadzone przez m. in. wspomnianych specjalistów. Zapraszam serdecznie!