• Wybierz język:

Biblioteki współpracujące:

Ochrona danych osobowych w bibliotece

Jeżeli mają Państwo pytania z zakresu ochrony danych osobowych w bibliotece, prosimy o kontakt z Sylwią Czub-Kiełczewską na adres s.czub@makplus.pl.

Poniżej odpowiadamy na najwżniejsze pytania.

 

MAK+ a ochrona danych osobowych

1)       Kto jest administratorem danych osobowych przetwarzanych w systemie MAK+?

Administratorem danych osobowych w systemie MAK+ jest instytucja decydująca o celach i środkach przetwarzania danych osobowych, czyli biblioteka, a w przypadku jednostek, które nie są samodzielne, ośrodek kultury, jednostka wojskowa, stowarzyszenie, muzeum, itd.

2)       Na jakiej podstawie Instytutowi Książki wolno przetwarzać dane osobowe czytelników biblioteki?
Wraz z umową licencyjną licencjobiorca podpisuje umowę powierzenia danych osobowych, która reguluje zasady przetwarzania danych osobowych, w szczególności zakres odpowiedzialności stron oraz zakres i cel w jakim Instytut Książki może przetwarzać dane osobowe. Instytut Książki nie staje się administratorem danych osobowych zbieranych w bibliotece, jest jedynie procesorem działającym na zlecenie i zgodnie z wolą licencjobiorcy.

 

Jeżeli czytelnik zgodził się na udostępnienie jego danych osobowych innym bibliotekom oraz Instytutowi w celu korzystania z uproszczonej procedury rejestracji w bibliotekach korzystających z systemu MAK+, podstawą do przetwarzania danych osobowych jest pisemna zgoda czytelnika na karcie zobowiązania drukowanej w bibliotece (dolna część, tzw. pod kreską).

 

3)       Dlaczego na karcie zobowiązania czytelnika generowanej z systemu MAK+ nie ma zgody czytelnika na przetwarzanie danych osobowych?

 

Punktem wyjścia jest odpowiedź na pytanie w jakim celu przedkłada się czytelnikowi kartę zapisu do podpisu i co jest jej najistotniejszym elementem. Mylnym jest stwierdzenie, że istotne jest wyrażenie zgody na przetwarzanie danych osobowych przez czytelnika. Na większości kart zamawianych w drukarniach znajduje się zapis (nie będę omawiać jego poprawności merytorycznej):

 

W związku z ustawą z dn. 29.08.1997 r. o ochronie danych osobowych, (Dz. Ust. nr 133, poz 883) wyrażam zgodę na wykorzystywanie moich danych osobowych w celach statystycznych oraz w sprawach związanych ze zwrotem wypożyczonych książek. Pouczona(y) zostałam(em) o prawie wglądu do tych danych oraz ich poprawiania.

 

Zgodnie z art. 23 ust.1 pkt 2 UODO przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W przypadku bibliotek podstawą do przetwarzania danych osobowych jest konieczność zrealizowania obowiązków wynikających z ustawy o bibliotekach. Jest to szczególny przepis prawa, z którego wynika, że czytelnik musi podać swoje dane osobowe, jeżeli chce skorzystać z usług biblioteki.

 

Warto też podkreślić, że zgoda na przetwarzanie danych osobowych jest ostatnią z przesłanek do przetwarzania danych osobowych, po którą powinniśmy sięgnąć dopiero wówczas, gdy wyczerpaliśmy już inne możliwości wynikające z art. 23.ust. 1 UODO. Zgodę na przetwarzanie danych osobowych można wycofać w każdej chwili, co mogłoby być kłopotliwe w momencie, gdy czytelnik cofający zgodę nie rozliczył się z biblioteką z wypożyczonych materiałów bibliotecznych.

Do czego zatem służy karta zobowiązania czytelnika? Oczywiście do pisemnego zaakceptowania regulaminu biblioteki. To jest najważniejsza rzecz, którą powinien zrobić nowy czytelnik. Uzyskanie od  niego zgody na przetwarzanie danych osobowych w związku z zapisaniem go  do biblioteki jest zbędne, a w niektórych sytuacjach wręcz kłopotliwe. Karta zobowiązania czytelnika nie powinna powyżej cytowanego tekstu zgody zawierać w ogóle.

 

4)       Dlaczego na karcie zobowiązania czytelnika generowanej z systemu MAK+ pod jego podpisem znajdują się informacje dotyczące przetwarzania danych osobowych?

 

Jest to realizacja obowiązku biblioteki wobec czytelnika wynikającego z art. 24 UODO:

W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3) prawie dostępu do treści swoich danych oraz ich poprawiania,

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

 

Obowiązek informacyjny jest zatem automatycznie wypełniany przez wszystkie biblioteki, które korzystają z MAK-a+.

 

5)       Dlaczego karta zobowiązania czytelnika jest dwuczęściowa?

Karta zobowiązania jest dwuczęściowa. Część górna zawiera tylko dane czytelnika i notę informacyjną.

Dolna zawiera pytanie o wyrażenie zgody na przekazanie danych osobowych Instytutowi Książki w celu udostępniania ich innym biblioteko korzystającym z MAK-a+. Czytelnik, który wyrazi na to zgodę, rejestruje się w systemie tylko raz. Gdy przychodzi do kolejnej biblioteki podaje tylko numer PESEL, a jego dane automatycznie są pobierane z systemu. Rejestracja ogranicza się tylko do sprawdzenia aktualności danych.

 

6)       Czy czytelnik musi wyrazić zgodę na udostępnienie jego danych Instytutowi Książki oraz innym bibliotekom?


Wyrażenie zgody na udostępnianie danych osobowych jest dobrowolne. Zgoda może zostać wycofana w każdej chwili.

 

7)       Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe:

 

Adres

Numer lub nazwa pomieszczenia

Warszawa, Pl. Defilad 1, PKiN, IX piętro

Pokój 911

Warszawa, Pl. Defilad 1, PKiN, IX piętro

Pokój 912

Warszawa, Pl. Defilad 1, PKiN, IX piętro

Pokój 909

Warszawa, ul. Krakowskie Przedmieście 15/17

Serwerownia

Skawina (kod 32-050), ul. Krakowska 43

Serwerownia w budynku POLCOM sp. z o.o.

 

 

 

8)       Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi:

 

Czytelnicy zarejestrowani w MAK+

Osoby korzystające z zasobów bibliotek (czytelnicy), które są zarejestrowane w systemie MAK+

- imiona i nazwiska,

- imię ojca,

- data urodzenia,

- kategoria społeczna,

- adres zamieszkania lub pobytu,

- miejsce pracy,

- numer PESEL,

- seria i numer dowodu osobistego lub innego dokumentu tożsamości,

- numer telefonu stacjonarnego/komórkowego,

- adres i nazwa szkoły,

- adres e-mail,

- imię, nazwisko oraz adres zamieszkania rodzica/opiekuna prawnego.

Użytkownicy systemu MAK+ (bibliotekarze)

Pracownicy bibliotek, którzy korzystają z programu MAK+

- imię i nazwisko,

- miejsce pracy,

- numer telefonu kontaktowego,

- adres e-mail.

 

 

9)       Sposób przepływu danych pomiędzy systemem MAK+ a innymi systemami służącymi do przetwarzania danych osobowych

 

Nie ma przepływu danych osobowych pomiędzy systemem MAK+, a innymi systemami. Dane osobowe z systemu MAK+ są eksportowane do plików CSV, PDF oraz do programu pocztowego.

 

 

10)  Dlaczego nie mogę dodać nowego czytelnika bez podania jego numeru PESEL?

Numer PESEL jest unikalnym identyfikatorem czytelnika - rejestrując nowego czytelnika rejestrujemy go bezpośrednio na serwerze centralnym aplikacji MAK+. Jeżeli czytelnik jest już zarejestrowany w jednej bibliotece i przyjdzie do kolejnej, żeby się zarejestrować, to po wprowadzeniu jego numeru PESEL (podczas wykonywania operacji dodawania nowego czytelnika) bibliotekarzowi wyświetlą się dane tego czytelnika i jedyne co pozostanie do zrobienia, to potwierdzenie poprawności danych i ustawienie parametrów dotyczących wypożyczeń w naszej bibliotece.

11)  Czy mam prawo wymagać od czytelników podania numeru PESEL?


W świetle nowych przepisów, w dowodach osobistych obywateli RP wydanych po 1 stycznia 2015 r. nie będzie figurować adres. Od 2016 roku powinien zostać zniesiony obowiązek meldunkowy. W związku z tym numer PESEL staje się jedynym niezmiennym i wiarygodnym identyfikatorem obywatela, a co za tym idzie czytelnika biblioteki. Z ustawy o bibliotekach wynika obowiązek chronienia materiałów bibliotecznych ciążący na bibliotece i aby móc go zrealizować biblioteka musi uzyskać od czytelnika dane w takim zakresie, który umożliwi jej odzyskanie udostępnionych zbiorów. Bez uzyskania od czytelnika (i jego opiekuna prawnego) numerów PESEL możliwość odzyskania zbiorów lub ich równowartości może okazać się niemożliwa ze względu na niemożliwość ustalenia danych czytelnika. Wobec tego wymaganie numeru PESEL staje się koniecznością.


12)   procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

 

Poniże informacje pochodzą z Regulaminu korzystania z programu MAK+ dla bibliotek i ich pracowników przekazywanego licencjobiorcy wraz umową licencyjną na program MAK+.

 

  • Rejestracja Użytkownika, zmiana przyznanych mu uprawnień oraz zmiana hasła służącego do uwierzytelnienia Użytkownika w Programie MAK+, następuje poprzez „Formularz zmiany danych Użytkownika” (wzór stanowi załącznik nr 1 do Regulaminu ), który Użytkownik zobligowany jest wypełnić oraz po uzyskaniu aprobaty Biblioteki przesłać w formie skanu dokumentu na adres e-mail: pomoc@makplus.pl. W razie wątpliwości uznaje się, że aprobata Biblioteki, o której mowa powyżej, została złożona, jeżeli na „Formularzu zmiany danych Użytkownika” widnieje własnoręczny podpis osoby uprawnionej do reprezentacji Biblioteki oraz odciśnięta pieczęć instytucji. 
  • Po otrzymaniu przez IK prawidłowo wypełnionego „Formularza zmiany danych Użytkownika”, na wskazany w Formularzu służbowy adres e-mail, przesyłany jest link bądź hasło tymczasowe umożliwiające pierwsze zalogowanie do utworzonego konta Użytkownika, w którym Użytkownik może dokonywać m.in. samodzielnej zmiany hasła służącego do uwierzytelnienia w Programie MAK+.
  • IK uprawniony jest do skontaktowania się z Biblioteką bądź osobą, od której wpłynął wniosek, z prośbą o złożenie dodatkowych wyjaśnień, w sytuacji gdy poweźmie wątpliwość w przedmiocie treści „Formularza zmiany danych”.



13)   Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

  • Użytkownicy systemu MAK+ wykorzystują w procesie uwierzytelnienia identyfikatory i hasła.
  • Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi i nie podlega zmianie.
  • Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
  • Hasło tymczasowe jest tworzone przez Instytut Książki i przekazywane bezpośrednio użytkownikowi w sposób wskazany w Regulaminie korzystania z programu MAK+ przez biblioteki i ich pracowników.
  • Po zalogowaniu do systemu MAK+ z wykorzystaniem otrzymanego hasła tymczasowego system wymusza ustanowienie przez użytkownika nowego hasła.
  • System MAK+ wymusza następującą złożoność hasła użytkownika
    • hasło nie może być krótsze niż osiem znaków,
    • hasło zawiera małe i duże litery oraz cyfry lub znaki specjalne (musi zawierać 3 spośród 4 wymienionych elementów).
  • System MAK+ wymusza zmianę hasła użytkownika co 30 dni.
  • W przypadku zapomnienia hasła użytkownik korzysta z opcji „przypomnij hasło” podczas procesu logowania.
  • Jeżeli użytkownik nie ma wprowadzonego w systemie adresu e-mail, skorzystanie z powyższej funkcjonalności jest niemożliwe. Wówczas powinien zwrócić się do Instytutu o wygenerowanie nowego hasła tymczasowego (zgodnie z procedurą z Regulaminu korzystania z programu MAK+ dla bibliotek i ich pracowników). Po wygenerowaniu hasła tymczasowego jest ono przekazywane bezpośrednio użytkownikowi. Użytkownik zmienia otrzymane hasło przy pierwszym zalogowaniu się do systemu informatycznego.
  • System MAK+ stosuje środki kryptograficznej ochrony tych danych.
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu.

14)   Rozpoczęcie pracy w systemie rozpoczyna się po uwierzytelnieniu użytkownika poprzez podanie loginu i hasła.

  • System MAK+ uniemożliwia zalogowanie się tego samego użytkownika na dwóch stanowiskach komputerowych – przy próbie zalogowania, następuje wylogowanie użytkownika już zalogowanego.
  • System MAK+ automatycznie wylogowuje użytkownika po 30 minutach bezczynności w systemie. Ponowne rozpoczęcie pracy w systemie MAK+ wymaga ponownego uwierzytelnienia przez podanie identyfikatora i hasła.
  • Zakończenie pracy w systemie MAK+ następuje poprzez wylogowanie się przez użytkownika.


15)   Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz sposób, miejsce i okres przechowywania kopii zapasowych

 

L.p.

Czynność

wykonujący

1.

Codziennie wykonywany jest automatycznie backup bazy typu „full online include logs”. Backup wykonywany jest na taśmy do systemu TSM zlokalizowanego w serwerowni Polcom. Backup bazy przechowywany jest w systemie TSM przez okres min. 3 miesięcy.

 (automatycznie system operacyjny serwera)

 

Codziennie wykonywany jest automatycznie backup bazy typu „full online include logs” na systemie produkcyjnym. Backup wykonywany jest na zasób dyskowy serwera umieszczony na macierzy V7000. Na serwerze przechowywane są trzy ostatnie wersje backupu. Kopia tak wykonanego backupu wysyłana jest na sieciowy zasób dyskowy Netgear NAS oraz na zasób dyskowy na serwerze db2secondary, który umieszczony jest na macierzy DS4700. Na serwerze NAS przechowywane jest 7 ostatnich kopii bazy. Raz na 2 tygodnie kopia bazy przesyłana jest na zasób dyskowy w serwerowni.

(automatycznie system operacyjny serwera)

2.

Co 5 minut oraz każdorazowo po zamknięciu pliku archiwalnego logów transakcyjnych wykonywany jest jego backup do systemu TSM.

(automatycznie system operacyjny serwera)

3.

Pliki archiwalne logów transakcyjnych odkładane są dodatkowo na dysku lokalnym serwera w katalogu /db2data/mak4archivelogs (macierz V7000) oraz kopiowane są na zasób dyskowy na serwerze DB2SECONDARY (macierz DS4700) oraz na zasób dyskowy w serwerowni.

(automatycznie baza danych)

4.

Baza danych pracuje w trybie HADR. Dane przesyłane są na bieżąco do drugiej bazy danych na serwerze db2secondary.

(automatycznie system operacyjny serwera, baza danych)

5.

 

Codziennie jest sprawdzana poprawność wykonywania backupów.

administartor bazy danych





16)   Sposób zabezpieczenia systemu MAK+ przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu MAK+ 

 

 

  • System MAK+ zapewnia dla osoby, której dane przetwarza, automatyczne odnotowanie informacji o:

 

  • odbiorcach, którym jej dane osobowe zostały udostępnione,
  • dacie udostępnienia,
  • zakresie udostępnienia.
  • System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania poprzez:

 

  • realizowanie zdalnych połączeń za pomocą tunelu VPN oraz szyfrowanego protokołu HTTPS,
  • wyposażenie komputera na którym jest zainstalowany w zaporę sieciową,
  • monitorowanie godziny dostępu do systemu MAK+ przez użytkowników,
  • uruchomienie na sprzęcie komputerowym, na którym zainstalowany jest system MAK+ tylko niezbędnych usług,
  • wyłączenie na sprzęcie komputerowym, na którym zainstalowany jest system MAK+ konta gościa,
  • System MAK+ na serwach Instytutu Książki (serwerach centralnych), na których przechowywane są kopie zapasowe danych użytkowników i czytelników jest zabezpieczony przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej poprzez zastosowanie urządzeń typu UPS, generator prądu lub wydzieloną sieć elektroenergetyczną,
  • System MAK+ na serwerach Instytutu Książki (serwerach centralnych) chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez zastosowanie urządzeń typu Checkpoint, wydzielonej strefy DMZ oraz wdrożenie innych fizycznych oraz logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,

 

17)   Sposób spełnienia wymogów, o których mowa w § 7 ust 1 pkt 4 Rozprządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

 

System MAK+ zapewnia odnotowanie informacji o wszelkich czynności wykonywanych na danych osobowych czytelnika przez użytkownika, takich jak zarejestrowanie czytelnika, zmiana danych wraz z odnotowaniem rodzaju zmiany, usunięcie czytelnika, odbiorców danych, którym zostały udostępnione wraz z odnotowaniem zakresu udostępnienia. Dla wszystkich operacji odnotowywana jest data oraz identyfikator użytkownika, który jej dokonał. System MAK+ zapewnia wygenerowanie i wydrukowanie raportu (tzw. raport dla GIODO).

 

18)   Procedura wykonywania przeglądu i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych.

 

  • Przegląd i konserwacja sprzętu informatycznego realizowane są na terenie Instytutu Książki oraz podmiotów zewnętrznych przez osoby upoważnione przez Instytut Książki oraz podmioty zewnętrzne.
  • Wszelkie przeznaczone do naprawy urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Instytut Książki.
  • Przekazania sprzętu teleinformatycznego do naprawy poza obszar Instytutu Książki jest dopuszczalne w wyjątkowych przypadkach, jeżeli spełnione zostaną poniższe warunki: sprzęt przekazywany jest bez nośników zawierających dane osobowe, fakt usunięcia danych z nośników, usunięcia nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem, przekazanie sprzętu potwierdzane jest protokołem, pozwalającym na jednoznaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt.
  • Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia protokołu serwisowego. 


Zintegrowany system biblioteczny MAK+ stworzony i administrowany przez Instytut Książki.



Partnerzy: