Ochrana osobních údajů není pro knihovny nic nového, alespoň ne pro ty, které už od roku 2000 působí v souladu se stávajícím zákonem o ochraně osobních údajů č. 101/2000 Sb. Na letošní konferenci Internet ve státní správě a samosprávě konstatoval náměstek ministra vnitra Petr Mlsna, že podle jejich analýzy dosud platný zákon zahrnuje 95 % toho, co přináší nové nařízení EU známé pod zkratkou GDPR. Na stejné konferenci komisařka Evropské komise Věra Jourová uvedla (volná parafráze), že je překvapena, jaké mediální dusno se kolem GDPR v České republice vyvolalo a kolik firem a právníků se na této záležitosti živí, ačkoliv většině malých firem by stačilo, kdyby si koupily zámek na skříň a nový server, který by si dobře zabezpečily. Konstatovala také, že určitě nenastane to, že hned 25. května 2018 někdo bude zahajovat kontroly, ale je zcela nezbytné, abychom se ochranou osobních údajů začali věcně a vážně zabývat.
Z tohoto hlediska by se zdálo, že v knihovnách není toto téma třeba řešit, ale opak je zřejmě pravdou. Ochranou osobních údajů jsme se zabývali před sedmnácti lety, ale s postupujícím časem jsme na toto téma postupně zapomínali. Nyní je čas na probuzení, protože datum 25. května 2018 se neodvratně blíží. Jestliže máme za sebou 17 let postupného zapomínání, zkusme si v 17 bodech projít to nejdůležitější, co by knihovna měla udělat, aby prokázala, že se zabývala ochranou osobních údajů ve smyslu nařízení GDPR.
-
Začněte se ochranou osobních údajů zabývat, udělejte to, co jste dlouho odkládali.
-
Přečtěte si příručku o ochraně osobních údajů pro knihovny.
-
Dohodněte se v knihovně, kdo je odpovědný za oblast ochrany osobních údajů, zjistěte si, kdo za ni odpovídá na obecním nebo městském úřadě nebo u nadřízeného útvaru (viz kap. 8.1 příručky).
-
Udělejte si přehled, analýzu, jaké osobní údaje shromažďujete (viz kap. 3 příručky), u každého údaje si poznamenejte:
-
proč ho shromažďujete, jaké jsou právní důvody;
-
jaké jsou lhůty pro uchování;
-
jak, kdy a kdo údaje maže;
-
kdo s nimi pracuje;
-
jak jsou chráněny;
-
jaká jsou rizika zneužití.
-
-
Připravte vše nezbytné pro registrované uživatele (viz kap. 7.1 příručky), zejména:
-
formulaci v knihovním řádu;
-
obecnou informaci pro uživatele o nakládání s osobními údaji, včetně možnosti odvolat souhlas;
-
přihlášku, registraci uživatele a souhlasy k různým typům zpracování (pro zpracování osobních údajů dětí do 15 let musíte mít souhlas zákonného zástupce);
-
stanovte dobu uchování historie výpůjček a nastavte si odpovídajícím způsobem výpůjční systém;
-
stanovte dobu uchování ostatních osobních údajů;
-
připravte se na požadavek, kdy uživatel položí dotaz na to, které osobní údaje o něm shromažďujete.
-
-
Zjistěte si, kdo dále využívá nebo navštěvuje knihovnu – návštěvníci akcí, zástupci firem a institucí, smluvní partneři, dobrovolníci, stážisté (viz kap. 6.5 příručky):
-
zjistěte si, jaké osobní údaje o nich shromažďujete a omezte je na minimum;
-
zjistěte si, kde jsou uloženy, jak dlouho jsou uchovávány, a skartujte vše staré;
-
předem informujte účastníky o záznamech z akcí, získejte souhlasy.
-
-
Ověřte si, jaké informace shromažďujete o zaměstnancích (to se netýká knihoven, které nevedou vlastní personální a mzdovou agendu), kdo k těmto dokumentům, např. osobním spisům (pozor na citlivé údaje!) a mzdovým listům, má přístup, kde a jak jsou uloženy (viz kap. 6.8 příručky). Je také třeba věnovat pozornost údajům o pracovnících na dohody, o uchazečích o zaměstnání a o bývalých zaměstnancích.
-
Zpracujte si pravidla zacházení s osobními údaji pro pracovníky knihovny, stanovte přístupová práva, nejlépe formou směrnice (viz kap. 8 příručky):
-
zajistěte uzamykatelnost skříní, zásuvek apod. s osobními údaji, zaheslujte počítače, používejte přístupové kódy, antiviry (viz kap. 12.1 příručky);
-
zjistěte si lhůty pro uchování a skartaci jednotlivých dokumentů a skartujte osobní údaje podle takového plánu;
-
stanovte si, kdo bude hlásit porušení zabezpečení;
-
proškolte všechny zaměstnance, seznamte je s jejich povinnostmi.
-
-
Při zpracování databází osobností, autorů apod. využívejte věrohodné zdroje, vyhněte se uvádění citlivých údajů, a pokud je to možné, informujte dotčenou osobu (viz kap. 6.7 příručky).
-
Uzavřete smlouvu (dodatek) s poskytovatelem automatizovaného knihovního systému, případně dodavateli jiných systémů, ve kterých se pracuje s osobními údaji. Myslete na specifika, která může přinést využívání softwaru jako služby (viz kap. 8.2 příručky).
-
Zajistěte kontrolu počítačů, tiskáren, skenerů a dalších zařízení pro veřejnost, aby zde nemohly zůstávat osobní údaje uživatelů, které by bylo možné zneužít (viz kap. 12.2 příručky).
-
Převeďte svůj automatizovaný knihovní systém a webové stránky pod protokol HTTPS (viz doporučení Ústřední knihovnické rady ve formátu PDF).
-
Zabezpečte své Wi-Fi připojení, zálohujte svá data (viz kap. 12.6 příručky).
-
Pokud provozujete kamerový systém, dbejte na informovanost návštěvníků, stanovte si dobu uchování záznamů (viz kap. 6.2.2 příručky).
-
Shromážděte si všechny dokumenty, které se týkají ochrany osobních údajů, na jednom místě, např. je uložte do šanonu, aby byly připraveny pro případnou kontrolu.
-
Zpracujte si plán toho, co musíte pro zlepšení úrovně ochrany osobních údajů udělat v budoucnu.
-
Využijte vzorové dokumenty a doporučení uvedená v příručce o ochraně osobních údajů pro knihovny.
Aktuální informace o ochraně osobních údajů jsou k dispozici na webu Úřadu pro ochranu osobních údajů a Ministerstva vnitra ČR.
Komentáře k článku