Każdy kto chce zostać użytkownikiem biblioteki (rozszerzająca się oferta bibliotek spowodowała, że nie mówimy już o osobach korzystających z naszych usług tylko w kontekście czytania) musi wypełnić tzw. kartę zobowiązań, aby zapoznać się ze swoimi prawami i obowiązkami. W wyniku automatyzacji po wprowadzeniu danych do systemu taki dokument zostaje wygenerowany, ale należy go wydrukować ze względu na konieczność własnoręcznego podpisu. Jednak wciąż obecne są druki gotowe, które osobiście wypełnia użytkownik.
Po wprowadzeniu przepisów RODO również biblioteki musiały podporządkować się przepisom prawnym, a więc zweryfikować konieczność zbierania dotychczasowych informacji.
Pobierając dane osobowe należy kierować się następującymi zasadami : ograniczenia zbierania, jakości danych, określenia celu, ograniczenia użycia, zabezpieczeń, jawności, udziału jednostki i rozliczalności[1]. Ustawa wyraźnie wymaga, aby zbierane dane były adekwatne do celów w jakim są przetwarzane. A czytając w komentarzach do Ochrony danych osobowych to właśnie bibliotekom Generalny Inspektor zarzuca nadmierne i nieuzasadnione zbieranie danych osobowych.[2] Faktem jest, że trudno wytłumaczyć zbieranie przez nie danych jak miejsce pracy, imię ojca czy numer dowodu osobistego, co nie wykorzystuje się w realizacji podstawowych zadań. Wytłumaczeniem może być przykład karty zobowiązań dostępnej na rynku, opatrzonej informacją „karty zapisu RODO”, której wiarygodności uwierzyliśmy, myśląc że spełniamy obowiązek informacyjny Żaden z administratorów nie interesował się stroną awers lecz rewers z formułką: „ W związku z ustawą z dn. 29.08.1997 r. o ochronie danych osobowych, (Dz. Ust. nr 133, poz 883) wyrażam zgodę na wykorzystywanie moich danych osobowych w celach statystycznych oraz w sprawach związanych ze zwrotem wypożyczonych książek. Pouczona(y) zostałam(em) o prawie wglądu do tych danych oraz ich zmiany”. Sięgając do Art. 23 ust.1 punkt 2 UODO czytamy, że przetwarzanie danych jest dopuszczalne, „…gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa ”.[1] W przypadku bibliotek podstawą do przetwarzania danych osobowych jest konieczność zrealizowania obowiązków wynikających z ustawy o bibliotekach (Art.4 ust.1 Ustawy o bibliotekach). Jest to szczególny przepis prawa, z którego wynika, że użytkownik musi podać swoje dane osobowe, jeżeli chce skorzystać z usług biblioteki. Nie zdawaliśmy sobie sprawy, iż zgodę na przetwarzanie danych osobowych można wycofać w każdej chwili, co mogłoby być kłopotliwe w momencie, gdy czytelnik cofający zgodę nie rozliczył się z biblioteką z wypożyczonych materiałów bibliotecznych.
Zobowiązanie ma służyć jedynie do pisemnego zaakceptowania regulaminu biblioteki, bo to jest najważniejsza rzecz, którą musi zrobić czytelnik. Pojawia się problem co zrobić z błędnymi zobowiązaniami, a na pewno wymiana je na prawidłowe potrwa o ile całkowicie będzie to możliwe. Przechowywane są zgodnie z ustawą w szafie zamykanej na klucz. Jednak istotne jest opracowanie „Procedury archiwizacji kart zobowiązań”, co zostało poruszone w „Kodeksie postępowania dla bibliotek. Wspierający we właściwym stosowaniu RODO”. Przed wejściem w życie RODO takie karty były układane w określony sposób, np. alfabetycznie lub według numeru karty czytelniczej i leżały sobie w zasadzie sporadycznie odświeżane. Obecnie wymogiem jest okresowe ich przeglądanie pod kątem aktywności użytkowników biblioteki[3]. Jeśli dana osoba nie korzysta przez określony czas z biblioteki jego kartę zobowiązań przenosi się do składnicy akt. W przypadku wznowienia aktywności wraca do miejsca bieżących zobowiązań. W „Kodeksie postępowania dla bibliotek” mamy szczegółowe informacje co do okresu przechowywania dokumentów. Istotne jest, aby na każdym etapie były właściwie zabezpieczone zgodnie z przepisami.
Dostępne na rynku gotowe druki wciąż mają rubryczki dla danych wcale nie potrzebnych do realizacji zadań statutowych biblioteki. Zbędne okazuje się również wyrażanie zgody przez zapisującego się na wykorzystywanie wizerunku przez bibliotekę. Informację o celu fotografowania czy upubliczniania wizerunki na stronie internetowej i portalach społecznościowych podaje się w Regulaminie dla wydarzeń kulturalnych i czytelniczych.
Dlatego istotne jest zwracanie uwagi na proponowane druki pod kątem potrzeby gromadzenia danych i obowiązujących przepisów. W ten sposób nie narobimy sobie kłopotów i zapewnimy bezpieczeństwo gromadzonym danym.
[1] Podręcznik Inspektora Ochrony Danych, [W]: https://uodo.gov.pl/pl/168/1298, s.15
[2]J. Bart , P. Fajgielski, R.Markiewicz, Ochrona danych osobowych. Komentarz, Wyd.5, Wydawnictwo Lex, Warszawa 2011, s.537
[3] Kodeks postępowania dla bibliotek. Wspierający we właściwym stosowaniu RODO. Warszawa, Stowarzyszenie Bibliotekarzy Polskich, 2021