RODO w bibliotece – na co jeszcze należy zwrócić uwagę?
RODO w bibliotece
– na co jeszcze należy zwrócić uwagę?
RODO wprowadza do porządku prawnego wiele zmian – niektóre z nich będą kształtować się jeszcze miesiącami, zanim pojawi się ogólnie przyjęta praktyka.
Przetwarzanie danych a ustawa o bibliotekach
Obecnie podstawę funkcjonowania bibliotek stanowi ustawa o bibliotekach z dnia 27 czerwca 1997 r. Daje im ona dość duże uprawnienia - na jej podstawie biblioteka świadczy usługi, w związku z którymi przetwarza dane osobowe. Regulamin biblioteki wydawany jest na podstawie art. 14 ust. 4 ustawy i stanowi o szczegółowych zasadach i warunkach korzystania z biblioteki. Poprzez jego akceptację czytelnik i biblioteka zawierają umowę, którą obie strony zobowiązane są respektować – podobnie jak pracownicy i pracodawcy, zawierający umowę na podstawie Kodeksu pracy.
Zgodnie z zapowiedziami ustawodawcy wyrażonymi w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, ustawa o bibliotekach ulegnie wkrótce zmianie w zakresie, który dotychczas nie został nawet ramowo zakreślony. Mimo więc bezpodstawności powszechnej paniki związanej z RODO, które wcale nie zmienia aż tak wiele w zakresie konieczności zabezpieczenia danych, jak mogłoby się wydawać, warto mieć się na baczności i obserwować zmieniające się przepisy.
Inspektor Ochrony Danych
RODO wprowadza nowe obowiązki także w zakresie wyznaczenia podmiotu jakim jest Inspektor Ochrony Danych (IOD), pełniący niejako rolę porównywalną do dotychczasowego Administratora Bezpieczeństwa Informacji. Jedną z poważniejszych zmian jest określenie kręgu podmiotów, dla których wprowadzenie tego stanowiska będzie obowiązkowe. Art. 37 ust. 1 RODO wskazuje, że jednym z podmiotów zobowiązanych do wyznaczenia IOD są podmioty publiczne – a więc także biblioteki publiczne.
IOD powinna zostać osoba posiadająca odpowiednia wiedzę z zakresu ochrony danych. Może on należeć do personelu biblioteki bądź być podmiotem zewnętrznym – nic nie stoi na przeszkodzie powołania jednego IOD dla kilku podmiotów, jeśli tylko będzie on miał realną możliwość kontroli przetwarzania danych w każdym z nich. IOD powinien wykonywać swoje obowiązki w sposób niezależny i autonomiczny. O wyznaczeniu IOD i jego danych kontaktowych powinno się informować czytelników – w regulaminie lub np. poprzez umieszczenie informacji w widocznym miejscu biblioteki. Informacja o wyznaczeniu IOD powinna zostać zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych do końca lipca 2018 r.
Dane osobowe przetwarzane przez biblioteki
Aby zapisać się do biblioteki, zwykle wystarczy wskazanie podstawowych danych osobowych, takich jak imię, nazwisko, adres e-mail, telefon, adres zamieszkania. Dane te nie są uważane za dane szczególnie chronione i jako takie nie wymagają od podmiotu przetwarzającego stosowania szczególnych zabezpieczeń. Na tej podstawie możemy więc uznać, że biblioteki nie przetwarzają co do zasady danych wrażliwych.
Patrząc jednak na sprawę z szerszej perspektywy, do zestawu standardowych danych osobowych wskazanych w poprzednim akapicie należy dodać dane dotyczące preferencji czytelniczych, które przy doborze odpowiednich lektur, teoretycznie mogą stanowić dane wrażliwe. Kwestia ta stanowi jednak raczej pole do dyskusji na temat tego, czy hasło „jesteś tym, co czytasz” rzeczywiście ma zastosowanie – nie zawsze przecież czytanie np. książek o konkretnej tematyce politycznej oznacza, że zgadzamy się z wyrażonymi w nich poglądami i uznajemy je za własne. Na tym polu biblioteka powinna działać jednak nad wyraz ostrożnie – prowadzenie statystyk w oparciu o ustawę o statystyce publicznej z dnia 29 czerwca 1995 r. to jedno, natomiast tworzenie np. profili czytelniczych dla użytkowników konkretnej biblioteki może zostać uznane za przekroczenie uprawnień płynących z ustawy. Jeśli więc biblioteka stosuje tego typu praktyki lub korzysta z programów komputerowych polecających książki na podstawie historii czytelniczej, warto uzyskać na to odpowiednią zgodę, czynności te mogą bowiem zostać uznane za profilowanie czytelników.
Podsumowując – dane wrażliwe przetwarzane przez bibliotekę mogą mieć podłoże nie tyle w samych danych osobowych, co w powiązanych z nimi książkach. Kwestia ta nie jest jednoznaczna i zależy od interpretacji osoby dokonującej oceny oraz doboru lektur przez czytelnika, niemniej jednak z ostrożności warto o tym pamiętać. Szczególną uwagę należy więc zwrócić na zabezpieczenie danych dotyczących preferencji czytelniczych użytkowników biblioteki, niezależnie od ich danych osobowych.
Zofia Lipińska
Aplikant radcowski
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Spółka Jawna
tel. 519 560 052
zofia.lipinska@ensiskancelaria.com