Zamieszczamy link do nagrania webinarium z dn. 27 listopada 2020 r. realizowanego w ramach 12 miesięcy tematycznych z labib.pl. Tematem webinarium jest ochrona danych osobowych w bibliotece.

Dyrektorzy bibliotek stają na co dzień przed wieloma wyzwaniami związanymi z zapewnieniem właściwej ochrony prywatności zarówno swoich pracowników, jak i osób korzystających z ich usług. Webinar porusza najważniejsze zagadnienia ochrony danych danych osobowych w codziennej pracy bibliotek. Zarówno tej związanej z zatrudnieniem (np. w jakich okolicznościach moża korzystać z prywatnego nr telefonu pracownika l), świadczeniami socjalnymi (zasady przetwarzania danych w związku z ZFŚS oraz KZP), ale także czytelników (jaki zakres danych można przetwarzać).

Link do nagrania: https://youtu.be/3_8cfM39Hz0


Poniżej znajduje się zestaw odpowiedzi przygotowanych przez ekspertkę prowadzącą webinarium na pytania zadane przez uczestników:

Kto jest administratorem danych w Bibliotece jeśli wchodzi ona w skład innej jednostki, np. domu kultury lub szkoły?
Odpowiedź: Administratorem danych w rozumieniu art. 4 RODO będzie w tym wypadku podmiot, w którego strukturach działa biblioteka, tzn. dom kultury lub szkoła.

Czy przepisy o ochronie danych dotyczą również bibliotek szkolnych?
Odpowiedź: Tak, jednakże należy pamiętać, że administratorem danych czytelników biblioteki szkolnej jest szkoła i to ona ustala zasady ochrony danych, które pracownicy biblioteki muszą przestrzegać.

RODO a fanpage na Facebooku – o czym należy pamiętać?
Odpowiedź: Zgodnie z regulaminem Facebooka, w wyniku orzecznictwa TSUE na przestrzeni ostatnich kilku lat, podmiot posiadający stronę na Facebooku, jest administratorem danych swoich fanów oraz współadministratorem wraz z Facebookiem danych przetwarzanych na potrzeby budowania statystyk strony oraz wyświetlania reklam. Biblioteka musi opracować i udostępnić na swoim Fanpage politykę prywatności wraz z klauzulą informacyjną.

Czy można pytać pracownika zatrudnionego, jako kierowca o liczbę punktów karnych?
Odpowiedź: Nie ma podstawy prawnej do uzyskania takiej informacji. Pracodawca może jedynie weryfikować uprawnienie do prowadzenia pojazdów.

A co z imionami rodziców w oświadczeniach do umowy zlecenia, umowy o dzieło – czy można je zbierać?
Odpowiedź: Nie ma podstawy prawnej do zbierania tych danych, gdyż nie są niezbędne do zawarcia i rozliczenia umowy.

Czy można sprawdzić, czy pracownik wykonuje pracę zdalną, każąc mu włączyć kamerę w urządzeniu poprzez które się komunikuje?
Odpowiedź: Pracodawca powinien dokonywać weryfikacji świadczenia przez pracownika pracy poprzez ocenę jej wyników, a nie sprawdzanie, gdzie jest pracownik.

U nas monitoring jest przed budynkiem, czyli nagrywa osoby wchodzące do biblioteki, czy to jest dozwolone?
Odpowiedź: Przepisy prawa pracy dają bibliotece uprawnienie do zainstalowania monitoringu zarówno w środku, jak i na obszarze dookoła siedziby, o ile jest to niezbędne do zapewnienia ochrony osób i mienia.

Kto powinien opracować "Politykę ochrony danych osobowych" w Bibliotece? Dyrektor? IOD? Czy dyrektor we współpracy z ASI i IOD?
Odpowiedź: Opracowanie i wdrożenie polityki jest obowiązkiem dyrektora. Jednakże przepisy RODO wymagają współpracy pomiędzy IOD oraz dyrektorem, gdzie powinien on konsultować kwestie dotyczące ochrony danych. Moim zdaniem niezbędna jest współpraca w tym zakresie, szczególnie, że to IOD jest specjalistą w dziedzinie stosowania przepisów RODO. Należy także uwzględnić ASI, który ma najlepszą wiedzę w zakresie cyberbezpieczeństwa. To zapewni, że dokumentacja ochrony danych będzie adekwatna do ryzyk i zagrożeń dla ochrony danych.

RODO w stosunku do czytelników – jakie są obowiązki biblioteki?
Odpowiedź: Wobec czytelnika należy wypełnić obowiązek informacyjny z art. 13 RODO. Na dane niezbędne do udostępnienia zbiorów nie pobiera się zgody, tak samo na dane niezbędne do statystyk na rzecz GUS. Dane kontaktowe, jak telefon oraz e-mail powinny być uzyskiwane na podstawie zgody. Polecam skorzystać z Kodeksu RODO dla bibliotek, tam jest wszystko bardzo szczegółowo wyjaśnione.

Czy dobrą praktyką jest wstawianie linku z wydarzenia organizowanego przez bibliotekę na fb przekierowujący na stronę www biblioteki?
Odpowiedź: To jest bardzo dobra praktyka.

Czy przy pracy zdalnej wykorzystując swój prywatny sprzęt (komputer, dostęp do internetu) przysługuje nam dodatek do pensji?
Odpowiedź: Tak, pracownikowi przysługuje ekwiwalent pieniężny, ponieważ to na pracodawcy ciąży obowiązek zapewnienia narzędzi pracy.

Czy można poinformować o chorobie (nieobecności w pracy), jeżeli nieobecność pracownika wpływa na organizację dyżurów w bibliotece?
Odpowiedź: W takim wypadku pracodawca powinien informować o nieobecności, ale nie o jej przyczynie.

Czy kamery nie mogą obejmować wejścia do sali udostępnionej na spotkania członków związków zawodowych?
Odpowiedź: Przepisy kodeksu pracy wprost zakazują takiej praktyki.

Czy kamery mogą być umieszczone za plecami pracownika?
Odpowiedź: Tak, jeżeli nie naruszają jego prywatności (np. Tajemnicy korespondencji) oraz nie służą kontroli wykonywania przez niego pracy. Oznacza to, że kamera może być ustawiona za plecami pracownika, ale powinna monitorować obszar przed jego biurkiem, a nie samo biurko.

Czy w przypadku przeprowadzania wyborów (lokal wyborczy w budynku biblioteki) kamery zewnetrzne/wewnętrzne powinny być wyłączone na ten czas. Czy należy to zawrzeć w regulaminie wewnętrznym dot monitoringu?
Odpowiedź: Te kwestie należy uzgodnić z PKW. Lokale wyborcze nie powinny być monitorowane, gdyż mogłoby to naruszyć prawa obywateli.

Jak odnieść się jeśli do ustalenia świadczenia emeryt, któremu należy się świadczenie nie chce podać kwoty dochodu męża (nie mają rozdzielności majątkowej) i podaje tylko swoje. Jak mam wyliczyć odpowiedni próg dochodowy?
Odpowiedź: Kwestie przyznawania świadczeń, w tym oceny zasadności wniosku, określa pracodawca w regulaminie ZFŚS. Jeżeli wynika z niego, że wnioskodawca ma podać dochody wszystkich członków rodziny, to odmowa podania tych informacji, będzie skutkowała odmową wypłacania świadczenia. Pracodawca na podstawie przepisów ustawy o ZFŚS jest uprawniony do żądania takich informacji oraz do ich weryfikacji.

Kto daje upoważnienie przedstawicielowi związków zawodowych, który jest w komisji ZFŚS?
Odpowiedź: Członkowie komisji ZFŚS otrzymują upoważnienia od pracodawcy, dotyczy to także przedstawiciela związków zawodowych.

Czy zasady przeglądu danych należy uregulować w regulaminie ZFŚS?
Odpowiedź: Tak, jest to najlepsze rozwiązanie.

Czy w deklaracji czytelnika ma być nr PESEL, a nr dowodu musi być usunięty?
Odpowiedź: W deklaracji może być PESEL lub nr dokumentu tożsamości, jeśli są obie informacje, jedną z nich należy usunąć, gdyż jest nadmiarowa, w odniesieniu do celu przetwarzania. Preferowany jest PESEL ze względu na szybszy tryb dochodzenia roszczeń.

Czy Kasa musi mieć swojego inspektora?
Odpowiedź: Nie, kasa nie musi mieć inspektora. Warunki konieczne określa art. 37 RODO, żaden z nich nie jest spełniony przez kasę zapomogowo-pożyczkową.

Rejestr przestępstw seksualnych - czy osoby na umowie zlecenie też trzeba sprawdzać?
Odpowiedź: Tak, każdą osobę, która będzie zajmowała się dziećmi, ponieważ ustawa o przeciwdziałaniu przestępstwom na tle seksualnym odnosi się do osób, które będą miały kontakt z dziećmi, nie tylko pracownikami (art. 21 ustawy).

Jeżeli umowa zlecenie jest zawierana z tą samą osobą kilka razy w roku, to za każdym razem należy sprawdzić taką osobę? Czy wystarczy tylko przy pierwszej umowie?
Odpowiedź: Przepisy ustawy o  przeciwdziałaniu przestępstwom na tle seksualnym wskazują na konieczność sprawdzenia tej osoby przed dopuszczeniem do pracy z dziećmi. W przypadku zleceniobiorcy nie ma pewności, czy w międzyczasie nie dokona przestępstwa, ani sposobu zweryfikowania tego zdarzenia, więc należy sprawdzać go cyklicznie.

Czy wynik z rejestru przestępstw na tle seksualnym przechowuje się w aktach? Czy po np. 5 latach można dokonać ponowną okresową weryfikację i zapisać to np. w zarządzeniu wprowadzającym dokument zbierania danych.
Odpowiedź: Wynik sprawdzenia w rejestrze należy przechowywać przez okres niezbędny do wykazania, że pracownik lub współpracownik został sprawdzony. W przypadku pracownika dołącza się do akt osobowych i przechowuje do ponownego sprawdzenia, tzn. Zastępuje nowym. W przypadku współpracownika, z którym zakończyła się współpraca, należy określić rozsądny okres czasu, np. Do czasu usunięcia umowy.

Rejestr czynności przetwarzania - jeśli naliczanie płac oraz księgowość jest prowadzona przez pracowników w Urzędzie Miejskim a nie w bibliotece, to jak powinno być to prawidłowo ujęte? W RCP biblioteki, czy urzędu?
Odpowiedź: W RCP biblioteki, ponieważ to ona jest administratorem tych danych.

Kiedy można usuwać czytelników zmarłych? Czy zgodnie z polityką retencji i traktować w tej sytuacji jako czytelników nieaktywnych?
Odpowiedź: Biblioteka ustala wewnętrzne procedury retencji i określa czas usuwania tych danych. Ta informacja powinna mieć odzwierciedlenie w regulaminie biblioteki.

Poproszę link do kodeksu RODO.
Odpowiedź: sbp.pl/artykul/?cid=22678&prev=1
Od czego zacząć jeżeli do tej pory nic w Bibliotece z RODO nie było zrobione?
Odpowiedź: Niezbędne będzie wsparcie wyznaczonego IOD. Należy zacząć od określenia zasad ochrony danych, nadania upoważnień, zobligowania do zachowania poufności osób, które pracują i współpracują z biblioteką, a także szkoleń dla tych osób. Niezbędne będzie także opracowanie klauzul informacyjnych dla osób, których dane są przetwarzane. Pracy jest poro, więc na pewno trzeba mocno zaangażować w ten proces IOD.

Jeżeli Biblioteka jest jednostką organizacyjną Urzędu Gminy to kto jest ADO ? Kierownik biblioteki czy Wójt?
Odpowiedź: Jeżeli biblioteka jest w strukturach innej jednostki (np. Biblioteka zakładowa), to ta jednostka (lub organ) jest administratorem. W tym wypadku administratorem będzie wójt.

Czy w RCP wpisuję pracę zdalną?
Odpowiedź: Nie jest to nowa czynność przetwarzania, nie ma potrzeby rozszerzania RCP o „pracę zdalną”. Natomiast niezbędna może być aktualizacja RCP w zakresie odbiorców danych, itp. w związku ze świadczeniem pracy zdalnej.

Chcemy czytać fragmenty różnych książek w filmikach w mediach społecznościowych - co możemy czytać, jak długi fragment, kogo mamy prosić o zgodę?
Odpowiedź: Treść książek jest objęta prawem autorskim, więc publiczne czytanie powinno dotyczyć tych książek, które są już w domenie publicznej, tzn. autor danej książki zmarł co najmniej 70 lat temu, ponieważ wygasły majątkowe prawa autorskie do jego twórczości. W przypadku książek zagranicznych, gdy ma być czytana polska wersja, należy liczyć 70 lat od śmierci tłumacza.

Jeśli prezentujemy okładkę książki - czy trzeba mieć na to zgodę autora, wydawcy?
Odpowiedź: W tym zakresie są sprzeczne opinie. Najbezpieczniejszym rozwiązaniem jest uzyskania zgody od wydawcy. Są opinie, że skan okładki można publikować na zasadzie prawa cytatu, jednakże nie mogę rekomendować tego rozwiązania.

A jeżeli dana książka jest w Wolnych Lekturach to można ją przeczytać np. jeden rozdział w postaci filmu na YouTube?
Odpowiedź: Tak, wszystkie książki w tym serwisie można czytać bez ograniczeń publicznie, ponieważ są już w domenie publicznej.

A co z książkami które są przekazane jako dar można na fb dać zdjęcia?
Odpowiedź: Zdjęcie darów, np. Na regale, w pudłach, gdzie kontekst zdjęcia wskazuje nie na poszczególne dzieła, ale na fakt ich otrzymania przez bibliotekę, moim zdaniem nie będzie naruszał ograniczeń wynikających z prawa autorskiego. Istotny będzie tutaj kontekst, jak ma to miejsce w przypadku wizerunków.

Czy bibliotekarz to osoba publiczna i wtedy nie trzeba zgody na rozpowszechnianie jego wizerunku?
Odpowiedź: Prawo autorskie wskazuje, że nie jest potrzebna zgody osoby powszechnie znanej, w związku z wykonywanymi przez nią obowiązkami. Moim zdaniem stwierdzenie, że każdy bibliotekarz jest osobą publiczną jest zbyt daleko idącym wnioskiem. Ograniczyłabym się w tym zakresie jedynie do dyrektora biblioteki, który działając w imieniu tej biblioteki oraz reprezentując ją na zewnątrz, faktycznie może być powszechnie znany.

Jeśli prezentujemy fotografie czytelników na Fb (stare, z dzieciństwa), czy wymagana jest też zgoda wszystkich innych osób, które sfotografowano?
Odpowiedź: Jeżeli są to osoby żyjące i nie występują wyjątki od obowiązku uzyskania zgody, przewidziane w art. 81 prawa autorskiego, zgoda na udostępnienie wizerunku jest niezbędna.

Prowadząca webinarium:
Sylwia Czub-Kiełczewska - Ekspert do spraw ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl), jest ekspertem w portalu o podatkach, prawie i księgowości infor.pl, a także LEX ochrona danych osobowych (Wolters Kluwer). Przez ponad 6 lat była związana zawodowo z Instytutem Książki, w którym koordynowała procesy bezpieczeństwa danych. Przeprowadziła kilkaset szkoleń ze stosowania przepisów o ochronie danych osobowych. Od 2014 roku prowadzi stałą kolumnę o ochronie danych osobowych w branżowym czasopiśmie „Bibliotekarz”. Obecnie wspiera swoją wiedzą i doświadczeniem procesy ochrony informacji w spółkach kapitałowych, agencjach reklamowych, jednostkach samorządowych. Świadczy także usługi zewnętrznego Inspektora Ochrony Danych.

Realizacja: Fundacja Rozwoju Społeczeństwa Informacyjnego oraz Stowarzyszenie LABiB.