Jeżeli mają Państwo pytania z zakresu ochrony danych w MAK+, prosimy o kontakt iod@instytutksiazki.pl.
Wymagania techniczne do korzystania z MAK+
MAK+ a ochrona danych osobowych
Informacje dotyczące bezpieczeństwa, integralności i rozliczalności danych osobowych w systemie MAK+ oraz związanych z użytkowaniem MAK+.
1) Kto jest administratorem danych osobowych przetwarzanych w systemie MAK+?
Administratorem danych osobowych w systemie MAK+ jest instytucja decydująca o celach i środkach przetwarzania danych osobowych, czyli biblioteka, a w przypadku jednostek, które nie są samodzielne, ośrodek kultury, jednostka wojskowa, stowarzyszenie, muzeum, itd.
2) Na jakiej podstawie Instytutowi Książki wolno przetwarzać dane osobowe czytelników biblioteki?
Wraz z umową licencyjną licencjobiorca podpisuje umowę powierzenia danych osobowych, która reguluje zasady przetwarzania danych osobowych, w szczególności zakres odpowiedzialności stron oraz zakres i cel w jakim Instytut Książki może przetwarzać dane osobowe. Instytut Książki nie staje się administratorem danych osobowych zbieranych w bibliotece, jest jedynie podmiotem przetwarzającym (procesorem) działającym na zlecenie i zgodnie z wolą licencjobiorcy.
Jeżeli czytelnik zgodził się na udostępnienie jego danych osobowych innym bibliotekom oraz Instytutowi w celu korzystania z uproszczonej procedury rejestracji w bibliotekach korzystających z systemu MAK+, podstawą do przetwarzania danych osobowych jest pisemna zgoda czytelnika na karcie zobowiązania drukowanej w bibliotece (dolna część, tzw. pod kreską).
3) Dlaczego na karcie zobowiązania czytelnika generowanej z systemu MAK+ nie ma zgody czytelnika na przetwarzanie danych osobowych?
Punktem wyjścia jest odpowiedź na pytanie w jakim celu przedkłada się czytelnikowi kartę zapisu do podpisu i co jest jej najistotniejszym elementem. Mylnym jest stwierdzenie, że istotne jest wyrażenie zgody na przetwarzanie danych osobowych przez czytelnika.
W przypadku bibliotek podstawą do przetwarzania danych osobowych jest konieczność zrealizowania obowiązków wynikających z ustawy o bibliotekach. Jest to szczególny przepis prawa, z którego wynika, że czytelnik musi podać swoje dane osobowe, jeżeli chce skorzystać z usług biblioteki.
Do czego zatem służy karta zobowiązania czytelnika? Oczywiście do pisemnego zaakceptowania regulaminu biblioteki. To jest najważniejsza rzecz, którą powinien zrobić nowy czytelnik. Uzyskanie od niego zgody na przetwarzanie danych osobowych w związku z zapisaniem go do biblioteki jest zbędne, a w niektórych sytuacjach wręcz kłopotliwe.
4) Dlaczego na karcie zobowiązania czytelnika generowanej z systemu MAK+ pod jego podpisem znajdują się informacje dotyczące przetwarzania danych osobowych?
Jest to realizacja obowiązku biblioteki wobec czytelnika wynikającego z art. 13 i 14 RODO
5) Dlaczego karta zobowiązania czytelnika jest dwuczęściowa?
Część górna zawiera tylko dane czytelnika i notę informacyjną. Jest to część, w której czytelnik składa podpis w celu zaakceptowania regulaminu biblioteki.
Dolna zawiera pytanie o wyrażenie zgody na przekazanie danych osobowych Instytutowi Książki w celu udostępniania ich innym bibliotekom korzystającym z MAK-a+. Czytelnik, który wyrazi na to zgodę, rejestruje się w systemie tylko raz. Gdy przychodzi do kolejnej biblioteki podaje tylko numer PESEL, a jego dane automatycznie są pobierane z systemu. Rejestracja ogranicza się tylko do sprawdzenia aktualności danych.
6) Czy czytelnik musi wyrazić zgodę na udostępnienie jego danych Instytutowi Książki oraz innym bibliotekom?
Wyrażenie zgody na udostępnianie danych osobowych jest dobrowolne. Zgoda może zostać wycofana w każdej chwili.
7) Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi:
Czytelnicy zarejestrowani w MAK+ |
Osoby korzystające z zasobów bibliotek (czytelnicy, ), które są zarejestrowane w systemie MAK+ |
- imiona i nazwiska, - imię ojca, - data urodzenia, - kategoria społeczna, - adres zamieszkania lub pobytu, - miejsce pracy, - numer PESEL, - seria i numer dowodu osobistego lub innego dokumentu tożsamości, - numer telefonu stacjonarnego/komórkowego, - adres i nazwa szkoły, - adres e-mail, - narodowość - imię, nazwisko, PESEL, seria i numer dokumentu stwierdzającego tożsamość, oraz adres zamieszkania rodzica/opiekuna prawnego. |
Użytkownicy systemu MAK+ (bibliotekarze) |
Pracownicy bibliotek, którzy korzystają z programu MAK+ |
- imię i nazwisko, - nazwa i adres zakładu pracy, - stanowisko, - służbowy adres e-mail. - numer telefonu komórkowego |
8) Sposób przepływu danych pomiędzy systemem MAK+ a innymi systemami służącymi do przetwarzania danych osobowych
Nie ma przepływu danych osobowych pomiędzy systemem MAK+, a innymi systemami. Dane osobowe z systemu MAK+ mogą być eksportowane do plików CSV lub PDF przez bibliotekarza generującego stosowny raport.
9) Dlaczego nie mogę dodać nowego czytelnika bez podania jego numeru PESEL?
Numer PESEL jest unikalnym identyfikatorem czytelnika - rejestrując nowego czytelnika rejestrujemy go bezpośrednio na serwerze centralnym aplikacji MAK+. Jeżeli czytelnik jest już zarejestrowany w jednej bibliotece i przyjdzie do kolejnej, żeby się zarejestrować, to po wprowadzeniu jego numeru PESEL (podczas wykonywania operacji dodawania nowego czytelnika) bibliotekarzowi wyświetlą się dane tego czytelnika i jedyne co pozostanie do zrobienia, to potwierdzenie poprawności danych i ustawienie parametrów dotyczących wypożyczeń w naszej bibliotece.
10) Czy mam prawo wymagać od czytelników podania numeru PESEL?
W świetle nowych przepisów, w dowodach osobistych obywateli RP wydanych po 1 stycznia 2015 r. nie będzie figurować adres. W związku z tym numer PESEL staje się jedynym niezmiennym i wiarygodnym identyfikatorem obywatela, a co za tym idzie czytelnika biblioteki. Z ustawy o bibliotekach wynika obowiązek chronienia materiałów bibliotecznych ciążący na bibliotece i aby móc go zrealizować biblioteka musi uzyskać od czytelnika dane w takim zakresie, który umożliwi jej odzyskanie udostępnionych zbiorów. Bez uzyskania od czytelnika (i jego opiekuna prawnego) numerów PESEL możliwość odzyskania zbiorów lub ich równowartości może okazać się niemożliwa ze względu na niemożliwość ustalenia danych czytelnika. Wobec tego wymaganie numeru PESEL staje się koniecznością.
11) Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
Poniższe informacje pochodzą z Regulaminu korzystania z programu MAK+ dla bibliotek i ich pracowników przekazywanego licencjobiorcy wraz umową licencyjną na program MAK+.
- Rejestracja Użytkownika, zmiana przyznanych mu uprawnień oraz zmiana hasła służącego do uwierzytelnienia Użytkownika w Programie MAK+, następuje poprzez „Formularz zmiany danych Użytkownika” (wzór stanowi załącznik nr 1 do Regulaminu ), który Użytkownik zobligowany jest wypełnić oraz po uzyskaniu aprobaty Biblioteki przesłać w formie skanu dokumentu na adres e-mail pomoc@makplus.pl. W razie wątpliwości uznaje się, że aprobata Biblioteki, o której mowa powyżej, została złożona, jeżeli na „Formularzu zmiany danych Użytkownika” widnieje własnoręczny podpis osoby uprawnionej do reprezentacji Biblioteki oraz odciśnięta pieczęć instytucji.
- Po otrzymaniu przez IK prawidłowo wypełnionego „Formularza zmiany danych Użytkownika”, na wskazany w Formularzu służbowy numer telefonu, przesyłane jest hasło tymczasowe umożliwiające pierwsze zalogowanie do utworzonego konta Użytkownika.
- IK uprawniony jest do skontaktowania się z Biblioteką bądź osobą, od której wpłynął wniosek, z prośbą o złożenie dodatkowych wyjaśnień, w sytuacji gdy poweźmie wątpliwość w przedmiocie treści „Formularza zmiany danych”.
12) Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
- Użytkownicy systemu MAK+ wykorzystują w procesie uwierzytelnienia identyfikatory i hasła.
- Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi i nie podlega zmianie.
- Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
- Hasło tymczasowe jest tworzone przez Instytut Książki i przekazywane bezpośrednio użytkownikowi w sposób wskazany w Regulaminie korzystania z programu MAK+ przez biblioteki i ich pracowników.
- Po zalogowaniu do systemu MAK+ z wykorzystaniem otrzymanego hasła tymczasowego system wymusza ustanowienie przez użytkownika nowego hasła.
- System MAK+ wymusza następującą złożoność hasła użytkownika
- hasło nie może być krótsze niż osiem znaków,
- hasło zawiera małe i duże litery oraz cyfry lub znaki specjalne (musi zawierać 3 spośród 4 wymienionych elementów).
- System MAK+ wymusza zmianę hasła użytkownika co 30 dni.
- W przypadku zapomnienia hasła użytkownik korzysta z opcji „przypomnij hasło” podczas procesu logowania.
- Jeżeli użytkownik nie ma wprowadzonego w systemie adresu e-mail, skorzystanie z powyższej funkcjonalności jest niemożliwe. Wówczas powinien zwrócić się do Instytutu o wygenerowanie nowego hasła tymczasowego (zgodnie z procedurą z Regulaminu korzystania z programu MAK+ dla bibliotek i ich pracowników). Po wygenerowaniu hasła tymczasowego jest ono przekazywane bezpośrednio użytkownikowi. Użytkownik zmienia otrzymane hasło przy pierwszym zalogowaniu się do systemu informatycznego.
- System MAK+ stosuje środki kryptograficznej ochrony tych danych
13) Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu.
- Rozpoczęcie pracy w systemie rozpoczyna się po uwierzytelnieniu użytkownika poprzez podanie loginu i hasła.
- System MAK+ uniemożliwia zalogowanie się tego samego użytkownika na dwóch stanowiskach komputerowych – przy próbie zalogowania, następuje wylogowanie użytkownika już zalogowanego.
- System MAK+ automatycznie wylogowuje użytkownika po 30 minutach bezczynności w systemie. Ponowne rozpoczęcie pracy w systemie MAK+ wymaga ponownego uwierzytelnienia przez podanie identyfikatora i hasła.
- Zakończenie pracy w systemie MAK+ następuje poprzez wylogowanie się przez użytkownika.
14) Sposób zabezpieczenia systemu MAK+ przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu MAK+
- System MAK+ zapewnia dla osoby, której dane przetwarza, automatyczne odnotowanie informacji o:
- odbiorcach, którym jej dane osobowe zostały udostępnione,
- dacie udostępnienia,
- zakresie udostępnienia.
- System informatyczny jest zabezpieczony przed działaniem niebezpiecznego oprogramowania poprzez:
- realizowanie zdalnych połączeń za pomocą tunelu VPN oraz szyfrowanego protokołu HTTPS,
- wyposażenie komputera, na którym jest zainstalowany w zaporę sieciową,
- monitorowanie godziny dostępu do systemu MAK+ przez użytkowników,
- uruchomienie na sprzęcie komputerowym, na którym zainstalowany jest system MAK+ tylko niezbędnych usług,
- wyłączenie na sprzęcie komputerowym, na którym zainstalowany jest system MAK+ konta gościa,
- System MAK+ na serwach Instytutu Książki (serwerach centralnych), na których przechowywane są kopie zapasowe danych użytkowników i czytelników jest zabezpieczony przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej poprzez zastosowanie urządzeń typu UPS, generator prądu lub wydzieloną sieć elektroenergetyczną,
- System MAK+ na serwerach Instytutu Książki (serwerach centralnych) chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez zastosowanie urządzeń typu Checkpoint, wydzielonej strefy DMZ oraz wdrożenie innych fizycznych oraz logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
15) Sposób spełnienia wymogów zapewnienia poufności, integralności i rozliczalności danych o których mowa w przepisach określonych w RODO
System MAK+ zapewnia odnotowanie informacji o wszelkich czynności wykonywanych na danych osobowych czytelnika przez użytkownika, takich jak zarejestrowanie czytelnika, zmiana danych wraz z odnotowaniem rodzaju zmiany, usunięcie czytelnika, odbiorców danych, którym zostały udostępnione wraz z odnotowaniem zakresu udostępnienia. Dla wszystkich operacji odnotowywana jest data oraz identyfikator użytkownika, który jej dokonał. System MAK+ zapewnia wygenerowanie i wydrukowanie raportu.
16) Procedura wykonywania przeglądu i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych.
- Przegląd i konserwacja sprzętu informatycznego realizowane są na terenie Instytutu Książki oraz podmiotów zewnętrznych przez osoby upoważnione przez Instytut Książki oraz podmioty zewnętrzne.
- Wszelkie przeznaczone do naprawy urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Instytut Książki.
- Przekazania sprzętu teleinformatycznego do naprawy poza obszar Instytutu Książki jest dopuszczalne w wyjątkowych przypadkach, jeżeli spełnione zostaną poniższe warunki: sprzęt przekazywany jest bez nośników zawierających dane osobowe, fakt usunięcia danych z nośników, usunięcia nośników danych lub stwierdzenia braku nośników danych jest potwierdzany protokołem, przekazanie sprzętu potwierdzane jest protokołem, pozwalającym na jednoznaczne wskazanie osoby przekazującej i osoby odbierającej sprzęt.
- Wszelkie prace serwisowe wykonywane przez podmioty zewnętrzne wymagają sporządzenia protokołu serwisowego.