Kraków, 15 stycznia 2018

Szanowni Państwo,

w dniu 25 stycznia 2012 r. Komisja Europejska przyjęła pakiet zmian prawa Unii Europejskiej w zakresie ochrony danych osobowych. Pakiet ten składa się z wniosku dotyczącego rozporządzenia, zawierającego ogólne regulacje w zakresie ochrony danych oraz wniosku dotyczącego dyrektywy zawierającej szczególne regulacje odnoszące się do ochrony danych dla sektora odpowiedzialnego za egzekwowanie prawa.

W dniu 4 maja 2016 r. oficjalne teksty rozporządzenia i dyrektywy zostały opublikowane w Dzienniku Urzędowym UE we wszystkich językach urzędowych. Rozporządzenie weszło w życie 24 maja 2016 r., a stosowane bezpośrednio będzie od dnia 25 maja 2018 r

Rozporządzenie wprowadza dla przedsiębiorców wymóg  prowadzenia rejestru naruszeń, czyli odnotowywania wszystkich incydentów, które dotyczyły naruszenia bezpieczeństwa danych osobowych. Firmy będą też miały  obowiązek w takim przypadku dokonanie zgłoszenia  incydentów do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin oraz poinformowanie o naruszeniu bezpieczeństwa danych osobowych tych osób, których to zdarzenie dotyczyło.

Każdy Administrator Danych Osobowych i jego przedstawiciel będą również mieli obowiązek prowadzenia rejestru czynności przetwarzania który ma zawierać m. in. informacje o tym, w jakim celu gromadzone i przetwarzane są dane osobowe, komu są one przekazywane oraz to, jakie są stosowane środki bezpieczeństwa, gwarantujące poufność tych danych.

Kolejną ważną zmianą jest wprowadzenie zasady o nazwie “privacy by design”,  czyli zagwarantowania ochrony danych osobowych już na etapie projektowania systemów informatycznych. Jednym z elementów tej zasady jest konieczność oszacowania ryzyka, jakie z punktu widzenia ochrony danych osobowych niosą systemy informatyczne.

Instytut Książki od 2008 r. tworzy, administruje i rozwija system katalogowy MAK+. Kwestie związane z ochroną danych osobowych były od początku bardzo istotnym elementem projektu. Baza gromadząca i przetwarzająca dane osobowe czytelników została - zgodnie z treścią obowiązujących przepisów  - zgłoszona do Generalnego Inspektora Ochrony Danych Osobowych już w 2010 r.  MAK+ spełnia obecnie wszystkie wymagania dotyczące systemów informatycznych, przetwarzających dane osobowe. Zbiór informacji dotyczących zasad przetwarzania danych osobowych w systemie MAK+ jest dostępny pod tym linkiem.

W celu dostosowania systemu MAK+ do wymagań, które będą obowiązywały od dnia 25 maja 2018 r. konieczne jest jednak wprowadzenie po stronie Instytutu Książki zmian w samym systemie oraz  - po stronie bibliotek - wprowadzenie zasady cyklicznej aktualizacji serwerów oraz firewalli, które znajdują się w Państwa bibliotekach. Instytut Książki musi sobie zastrzec prawo do cyklicznego monitorowania stanu zabezpieczeń serwerów oraz do bieżącego informowania bibliotek o konieczności dokonania stosownych aktualizacji.

Obecnie na stronie www systemu MAK+ znajduje się lista wymagań technicznych dotyczących lokalnych serwerów oraz stacji roboczych.

Od 1 lutego 2018 r. będą tam na bieżąco aktualizowane wymagania dotyczące wersji systemu operacyjnego serwera oraz wszelkich niezbędnych zmian w kontekście RODO.

Do wszystkich bibliotek, które nie spełniają minimalnych wymagań Instytut Książki skieruje osobne pismo z prośbą o jak najszybsze dostosowanie i zaktualizowanie posiadanej przez biblioteki infrastruktury do wymagań opublikowanych w w/w linku.

Brak dostosowania oraz aktualizacji infrastruktury może - w przypadku dokonania przez przestarzałą infrastrukturę biblioteki kradzieży danych osobowych - skutkować  uznaniem biblioteki za winną zaistniałego incydentu.

 Alternatywą do instalowania systemu MAK+ na serwerach lokalnych w Państwa bibliotekach jest skorzystanie z oferty Instytutu Książki na hosting systemu MAK+. W tej sytuacji odpowiedzialność za dostosowywanie infrastruktury serwerowej do wymagań RODO weźmie na siebie bezpośrednio Instytut Książki. Mogą Państwo również skorzystać z oferty hostingu oferowanego przez dowolną firmę zewnętrzną, zwracając szczególną uwagę na to, aby w umowie została zawarta klauzula o ciągłym obowiązku spełniania przez dostarczaną infrastrukturę wymagań publikowanych przez Instytut Książki.

 

Szanowni Państwo,

proszę o bardzo poważne potraktowanie kwestii ochrony danych osobowych i zastosowanie się do wytycznych określonych w niniejszym dokumencie. W razie jakichkolwiek wątpliwości proszę Państwa o kontakt z administratorami wojewódzkimi systemu MAK+.

Korzystając z okazji, przesyłam Państwu życzenia wszystkiego najlepszego w 2018 roku.

  

                      Z wyrazami szacunku

 

                        Dariusz Jaworski

                           DYREKTOR