Domov
Domov  >  Pogosta vprašanja  >  Varstvo osebnih podatkov
Pogosta vprašanja
Pogosta vprašanja - Varstvo osebnih podatkov

Vprašanja

Področje Vprašanje
splošno Kdo je odgovoren za varstvo osebnih podatkov?
splošno Kje je tveganje za neupravičeno obdelavo največje?
splošno Kako poteka proces pregledovanja?
pregledovanje dnevnikov Zakaj je potreben pregled dnevnikov?
pregledovanje dnevnikov Kdo naj izvaja pregled dnevnikov?
pregledovanje dnevnikov Kako naj poteka proces pregledovanja dnevnikov aplikativnega beleženja?
pregledovanje dnevnikov Kdaj je treba opravljati preglede dnevnikov?
pregledovanje dnevnikov Kako pogosto je treba opravljati preglede dnevnikov?
pregledovanje dnevnikov Na kaj je treba biti posebej pozoren?

Odgovori

Skladno z Zakonom o varstvu osebnih podatkov (ZVOP) nosi osnovno odgovornost za varstvo osebnih podatkov upravljavec zbirke.

Neupravičena obdelava osebnih podatkov in s tem povezana možna razkritja predstavljajo večje tveganje v splošnih knjižnicah, še posebej v tistih, katerih člani so pomembne javne osebe.

  1. Najprej izdelamo pregled (seznam) vseh uporabnikov in njihovih obdelav osebnih podatkov (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.1 Obdelave osebnih podatkov članov knjižnice s strani uporabnikov) ter ga natisnemo.
  2. Iz seznama izberemo priporočeno število uporabnikov za pregled (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.5 Postopek kontrole). Izbiro opravimo naključno, vendar je priporočljivo, da na podlagi seznama ugotovimo morebitne vprašljive obdelave uporabnikov in jih izberemo za pregled.
  3. Če ne poznamo podatka o tem, kdaj so izbrani uporabniki bili v službi, lahko za te uporabnike najprej izdelamo pregled izvajanja posameznih programskih točk (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.2 Obdelave osebnih podatkov članov knjižnice s strani izbranega uporabnika – zbirni podatki).
  4. Nato opravimo pregled obdelave posameznih uporabnikov za določeni dan ali več dni (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.3 Obdelave osebnih podatkov članov knjižnice s strani izbranega uporabnika). Uporabnike izberemo naključno ali na podlagi izvedbe predhodne točke (gl. tudi vprašanje Zakaj je potreben pregled dnevnikov?).
  5. Če ugotovimo neskladja ali "sumljivo" obdelavo osebnih podatkov, se pogovorimo z uporabnikom in, če je potrebno, ukrepamo.
  6. Napišemo zapisnike in jih skupaj s pregledom (seznamom) uporabnikov arhiviramo na običajen način.

Proces pregledovanja izvajamo brez izpisovanja osebnih podatkov na papir, saj programska oprema omogoča samo izpis na ekran. V dnevnik se zabeleži tudi, da je podatke videla ali obdelala oseba, ki je opravila pregled.

S pregledom dnevnikov upravljavec podatkov ugotavlja in nadzira, ali uporabniki podatkov (zaposleni) spoštujejo določila ZVOP in obdelujejo samo tiste osebne podatke, ki jih potrebujejo za izvajanje svojih delovnih nalog.

Praviloma naj bi izvajale pregled osebe, ki ne delajo z osebnimi podatki. Ker je to v manjših knjižnicah težje izvedljivo, lahko pregled opravi nadrejena oseba, in sicer tako, da postopek izvaja uporabnik (knjižničar), nadrejena oseba pa ob njem preverja, ali so bile obdelave osebnih podatkov izvedene skladno z izvajanjem delovnih nalog.

Pri pregledovanju dnevnikov aplikacij uporabljamo navodila iz priročnika Osnovna navodila COBISS3, pogl. 5.12 Pregled obdelav osebnih podatkov v skladu z ZVOP (Zakon o varstvu osebnih podatkov).

Pregled za pretekli mesec opravimo v prvih osmih delovnih dneh v tekočem mesecu. Štejejo tudi sobote. Po tem roku pregled ni več možen, ker se dnevniki arhivirajo in niso več dostopni za pregled. Dnevnike arhivira, varno hrani in po petih letih izbriše IZUM.

Knjižnice izberejo pogostost pregledovanja dnevnikov glede na oceno tveganja. V knjižnicah z višjo oceno tveganja je priporočljivo, da se dnevniki pregledujejo pogosteje in natančneje. Informacijska podpora omogoča mesečno pregledovanje. Mesece, za katere nameravamo opraviti pregled, izberemo naključno in nenapovedano. Vsekakor je spodnja meja pregled enega meseca v koledarskem letu.

Pri pregledu je treba biti pozoren predvsem na:

  • skladnost obdelave oz. izvajanja posameznih programskih točk z delovnimi nalogami uporabnika,
  • skladnost časa obdelav z delovnim časom uporabnika (možnost, da je kdo drug uporabil pravice za dostop),
  • izdelavo posameznih "občutljivih" izpisov (izposoja),
  • vpogled v podatke o izposoji gradiva za osebe, ki so v javnosti izpostavljene,
  • obdelave, ki so jih izvajali sodelavci IZUM-a.