RODO w bibliotece

RODO w bibliotece

 

Dnia 25 maja 2018 r. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane powszechnie RODO. W obiegu pojawiło się na jego temat bardzo dużo informacji, niejednokrotnie wywołujących panikę odbiorców, strasząc planowanymi kontrolami i karami mogącymi osiągnąć milionowe kwoty. W niniejszym artykule postaram się wyjaśnić czym tak naprawdę jest RODO, dlaczego nie należy się go bać i jak przygotować instytucję jaką jest biblioteka na nową rzeczywistość dotyczącą ochrony danych osobowych.

 

Podstawa przetwarzania danych osobowych

 

Pierwszą kwestią, którą należy poruszyć, jest podstawa przetwarzania danych osobowych, z którą mamy do czynienia w przypadku biblioteki. Na gruncie RODO można wyróżnić kilka takich podstaw – najczęściej spotykane w praktyce to niezbędność przetwarzania do wykonania zawartej umowy, upoważnienie wynikające z przepisów prawa, zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących czy też uzasadnione interesy administratora.
 
Osoba chcąca korzystać ze zbiorów biblioteki musi się do niej zapisać – i już w momencie dokonania takiego zapisu mamy do czynienia z wystarczającą podstawą do przetwarzania danych w tym zakresie. Zakładając kartę biblioteczną i akceptując regulamin, czytelnik zawiera bowiem z biblioteką umowę. Biblioteka ma prawo przetwarzać jego dane tak długo, jak długo jest to niezbędne dla prawidłowego wykonania tej umowy. Można więc, bez dodatkowych klauzul i zgód, przetwarzać dane czytelników w celu upominania ich w przypadku braku zwrotu książki w terminie, sprawdzenia ich tożsamości podczas wypożyczania książki czy nawet w celu przekazania sprawy do firmy windykacyjnej egzekwującej kary pieniężne – w ostatnim przypadku podstawą przetwarzania danych jest uzasadniony interes administratora, którym jest biblioteka.
 
Kiedy więc należy pobrać zgodę wypożyczającego na przetwarzanie danych? W każdej sytuacji, w której świadczone przez bibliotekę usługi nie są niezbędne do prawidłowego korzystania z biblioteki przez czytelnika. Będzie to więc np. zgoda na przesyłanie mailowych informacji o organizowanych przez bibliotekę wydarzeniach kulturalnych czy reklam sponsorów takich wydarzeń. Na każdy taki cel zgoda powinna być wyrażona w wyraźny i odrębny sposób, a ponadto nie można odmówić czytelnikowi prawa korzystania z biblioteki, jeśli nie wyrazi zgody na którąś z dodatkowych usług.

 

Obowiązek informacyjny

 

Największą zmiana powstającą na gruncie RODO jest rozbudowany obowiązek informacyjny, obejmujący znacznie szerszy zakres niż ten, który wynikał z dotychczasowych przepisów. Czytelnik powinien zostać poinformowany o tym, kto jest administratorem jego danych (a więc poznać dokładne dane biblioteki), czy jego dane są przetwarzane poza Europejskim Obszarem Gospodarczym (RODO obowiązuje bowiem obecnie tylko w państwach należących do tego obszaru), czy dane są profilowane, w jakim celu będą przetwarzane przez administratora, a także jak długo będzie on je przechowywał. RODO nakazuje także poinformowanie osoby, której dane są przetwarzane, o szeregu przysługujących jej praw, obejmujących:

 

a) prawo dostępu do swoich danych osobowych,

b) prawo do poprawiania, uzupełniania, uaktualniania, sprostowania swoich danych osobowych,

c) prawo do usunięcia danych (prawo do „bycia zapomnianym”),

d) prawo do ograniczenia przetwarzania danych (np. żądania usunięcia części danych, które podane zostały dodatkowo, np. numeru telefonu),

e) prawo do przenoszenia danych,

f) prawo wniesienia sprzeciwu od przetwarzania danych osobowych,

g) prawdo do nie podlegania profilowaniu,

h) prawo wniesienia skargi do organu nadzorczego.

 

Wszystkie te obowiązki można jednak spełnić w bardzo prosty sposób – na przykład wplatając zapisy informacyjne w treść regulaminu biblioteki, tworząc z nich załącznik do owego regulaminu lub przekazując je na osobnej kartce czytelnikowi przybywającemu do biblioteki po raz pierwszy. Obowiązek informacyjny nie wymaga co prawda podpisu osoby, wobec której został spełniony, warto jednak posiadać dowód na to, że powyższe informacje zostały czytelnikowi przekazane – czy to w postaci potwierdzenia akceptacji warunków regulaminu, czy też potwierdzenia nadania wiadomości e-mail z jego treścią.
 
RODO kładzie też duży nacisk na dobrowolność wyrażenia zgody na przetwarzanie danych w sytuacji, gdy to ta zgoda jest podstawą przetwarzania – pobierając zgodę należy więc ponadto jasno wskazać, że jest ona dobrowolna i może zostać w każdej chwili cofnięta.

 

Zabezpieczenia


W związku z RODO pojawiło się też wiele głosów sugerujących, że konieczne jest wzmożenie zabezpieczania danych, które są przetwarzane przez administratora. Nic bardziej mylnego – z dniem w wejścia w życie RODO przestały obowiązywać krajowe rozporządzenia, które dotychczas narzucały minimalne środki bezpieczeństwa w tym zakresie. RODO pozostawia kwestię wyważenia, jakie środki powinny zostać zastosowane, administratorowi – powinny być one wystarczające do zapewnienia bezpieczeństwa, jednocześnie jednak dostosowane do rodzaju przetwarzanych danych, ich ilości i zasad przetwarzania. Biblioteki nie przetwarzają co do zasady tzw. danych wrażliwych (danych dotyczących np. stanu zdrowia, wyznania czy orientacji seksualnej), rzadko też zdarza się w ich przypadku masowe przekazywanie danych w sieci czy działalność marketingowa, nie ma więc podstaw by sądzić, że w świetle nowych przepisów zabezpieczenia zgodne z dotychczasowym prawem okażą się niewystarczające. Jeśli więc dokumentacja zawierająca dane czytelników przechowywana jest w miejscu, do którego dostęp mają jedynie osoby upoważnione (w zamkniętej szafie lub osobnym pomieszczeniu, ale także na przykład w szufladzie za plecami pracownika biblioteki), a komputery, na których przetwarzane są dane, posiadają odrębne hasła i loginy dla pracowników i posiadają podstawowe zabezpieczenia (takie jak antywirusy i firewall), nie ma potrzeby wprowadzania

 

Dokumentacja

 

Pewne zmiany nastąpiły też w zakresie konieczności prowadzenia dokumentacji wewnętrznej z zakresu ochrony danych – dotychczasowe przepisy także przewidywały obowiązek posiadania takiej dokumentacji, nowe przepisy nieco bardziej szczegółowo określają jednak treść tych dokumentów, nakazując dodatkowo stworzenie np. procedury stosowanej w przypadku naruszenia bezpieczeństwa ochrony danych. RODO likwiduje także obowiązek zgłaszania zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) – rejestry tych zbiorów powinny być prowadzone samodzielnie przez każdego administratora przetwarzającego dane na dużą skalę w formie dokumentacji wewnętrznej. Rejestr taki powinien określać m.in. kategorie osób należących do danego zbioru, podstawę prawną, cel przetwarzania danych czy czas ich przechowywania – szczegółowe wytyczne w tym zakresie określa RODO. Dokumentacja taka ma jednak charakter wymogu formalnego. W wielu przypadkach administratorzy stosujący określone środki bezpieczeństwa powinni jedynie umieścić je w odpowiednim dokumencie, z którym mogliby zapoznać się nowi pracownicy, ponieważ sama procedura stosowana jest w praktyce.
 
Niezależnie od zmian wprowadzonych przez nowe przepisy, warto też pamiętać o obowiązku zawarcia umowy powierzenia danych, jeśli są one przekazywane innym podmiotom w celu wykonania czynności w imieniu administratora – będą to np. firmy hostingowe albo oferujące programy pozwalające na wysyłanie wiadomości mailowych do określonego kręgu czytelników. Obowiązek zawierania takich umów istniał już na mocy poprzednich przepisów, RODO uszczegółowiło jednak ich zakres i odpowiedzialność obu stron.


Podsumowanie

 

Pomimo tworzącego się wokół RODO szumu medialnego, większość nagłaśnianych obecnie obowiązków istniała już w poprzednim stanie prawnym. Zmiany dotyczą głównie treści niektórych dokumentów oraz obowiązku prowadzenia rejestru przetwarzania danych, w którym niejako porządkuje się podstawowe informacje dotyczące działalności biblioteki. Dane przetwarzane dotychczas na podstawie prawidłowych zgód czytelników nadal mogą być przetwarzane w oparciu o te zgody, nie pojawia się także żaden szczególny obowiązek dotyczący ich zabezpieczenia – RODO przyznaje administratorom prawo do decydowania o stosowanych środkach ostrożności. Do nowych przepisów należy więc podejść rozsądnie, rozważając praktyczne aspekty przetwarzania danych, biorąc pod uwagę konieczność zapewnienia czytelnikom możliwości realizacji praw wynikających z RODO i skupiając się na zapewnieniu optymalnego bezpieczeństwa przechowywanych dokumentów.


Zofia Lipińska
Aplikant radcowski

ENSIS Kancelaria Prawna
Cioczek & Szajdziński Spółka Jawna
tel. 519 560 052
zofia.lipinska@ensiskancelaria.com


Karty zapisu zgodne z RODO
można kupić w naszym sklepie

www.biblioteki.gropius.com.pl/karty-zapisu-rodo