Kraków, 15 stycznia 2018

Szanowni Państwo,

w dniu 25 stycznia 2012 r. Komisja Europejska przyjęła pakiet zmian prawa Unii Europejskiej w zakresie ochrony danych osobowych. Pakiet ten składa się z wniosku dotyczącego rozporządzenia, zawierającego ogólne regulacje w zakresie ochrony danych oraz wniosku dotyczącego dyrektywy zawierającej szczególne regulacje odnoszące się do ochrony danych dla sektora odpowiedzialnego za egzekwowanie prawa.

W dniu 4 maja 2016 r. oficjalne teksty rozporządzenia i dyrektywy zostały opublikowane w Dzienniku Urzędowym UE we wszystkich językach urzędowych. Rozporządzenie weszło w życie 24 maja 2016 r., a stosowane bezpośrednio będzie od dnia 25 maja 2018 r. 

Rozporządzenie wprowadza dla przedsiębiorców wymóg  prowadzenia rejestru naruszeń, czyli odnotowywania wszystkich incydentów, które dotyczyły naruszenia bezpieczeństwa danych osobowych. Firmy będą też miały  obowiązek w takim przypadku dokonanie zgłoszenia  incydentów do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin oraz poinformowanie o naruszeniu bezpieczeństwa danych osobowych tych osób, których to zdarzenie dotyczyło.

Każdy Administrator Danych Osobowych i jego przedstawiciel będą również mieli obowiązek prowadzenia rejestru czynności przetwarzania który ma zawierać m. in. informacje o tym, w jakim celu gromadzone i przetwarzane są dane osobowe, komu są one przekazywane oraz to, jakie są stosowane środki bezpieczeństwa, gwarantujące poufność tych danych.

Kolejną ważną zmianą jest wprowadzenie zasady o nazwie “privacy by design”,  czyli zagwarantowania ochrony danych osobowych już na etapie projektowania systemów informatycznych. Jednym z elementów tej zasady jest konieczność oszacowania ryzyka, jakie z punktu widzenia ochrony danych osobowych niosą systemy informatyczne.

Instytut Książki od 2008 r. tworzy, administruje i rozwija system katalogowy MAK+. Kwestie związane z ochroną danych osobowych były od początku bardzo istotnym elementem projektu. Baza gromadząca i przetwarzająca dane osobowe czytelników została - zgodnie z treścią obowiązujących przepisów  - zgłoszona do Generalnego Inspektora Ochrony Danych Osobowych już w 2010 r.  MAK+ spełnia obecnie wszystkie wymagania dotyczące systemów informatycznych, przetwarzających dane osobowe. Zbiór informacji dotyczących zasad przetwarzania danych osobowych w systemie MAK+ jest dostępny pod tym linkiem.

W celu dostosowania systemu MAK+ do wymagań, które będą obowiązywały od dnia 25 maja 2018 r. konieczne jest jednak wprowadzenie po stronie Instytutu Książki zmian w samym systemie oraz  - po stronie bibliotek - wprowadzenie zasady cyklicznej aktualizacji serwerów oraz firewalli, które znajdują się w Państwa bibliotekach. Instytut Książki musi sobie zastrzec prawo do cyklicznego monitorowania stanu zabezpieczeń serwerów oraz do bieżącego informowania bibliotek o konieczności dokonania stosownych aktualizacji.

Obecnie na stronie www systemu MAK+ znajduje się lista wymagań technicznych dotyczących lokalnych serwerów oraz stacji roboczych.

Od 1 lutego 2018 r. będą tam na bieżąco aktualizowane wymagania dotyczące wersji systemu operacyjnego serwera oraz wszelkich niezbędnych zmian w kontekście RODO.

Do wszystkich bibliotek, które nie spełniają minimalnych wymagań Instytut Książki skieruje osobne pismo z prośbą o jak najszybsze dostosowanie i zaktualizowanie posiadanej przez biblioteki infrastruktury do wymagań opublikowanych w w/w linku.

Brak dostosowania oraz aktualizacji infrastruktury może - w przypadku dokonania przez przestarzałą infrastrukturę biblioteki kradzieży danych osobowych - skutkować  uznaniem biblioteki za winną zaistniałego incydentu.

 Alternatywą do instalowania systemu MAK+ na serwerach lokalnych w Państwa bibliotekach jest skorzystanie z oferty Instytutu Książki na hosting systemu MAK+. W tej sytuacji odpowiedzialność za dostosowywanie infrastruktury serwerowej do wymagań RODO weźmie na siebie bezpośrednio Instytut Książki. Mogą Państwo również skorzystać z oferty hostingu oferowanego przez dowolną firmę zewnętrzną, zwracając szczególną uwagę na to, aby w umowie została zawarta klauzula o ciągłym obowiązku spełniania przez dostarczaną infrastrukturę wymagań publikowanych przez Instytut Książki.

Szanowni Państwo,

proszę o bardzo poważne potraktowanie kwestii ochrony danych osobowych i zastosowanie się do wytycznych określonych w niniejszym dokumencie. W razie jakichkolwiek wątpliwości proszę Państwa o kontakt z administratorami wojewódzkimi systemu MAK+.

Korzystając z okazji, przesyłam Państwu życzenia wszystkiego najlepszego w 2018 roku.

                      Z wyrazami szacunku

                        Dariusz Jaworski

                           DYREKTOR