Pogosta vprašanja

Skladno z Zakonom o varstvu osebnih podatkov (ZVOP-2) in Splošno uredbo o varstvu podatkov (GDPR) osnovno odgovornost za varstvo osebnih podatkov nosijo upravljavci zbirke, to so knjižnice, ki zbirajo osebne podatke o svojih članih. Knjižnice, ki sodelujejo v informacijskem sistemu COBISS, morajo imeti z IZUM-om sklenjeno dodatno Pogodbo o obdelavi osebnih podatkov, kjer IZUM nastopa le kot obdelovalec zbirke podatkov.

S pregledom dnevnikov upravljavec podatkov ugotavlja in nadzira, ali uporabniki podatkov (zaposleni) spoštujejo določila ZVOP in obdelujejo samo tiste osebne podatke, ki jih potrebujejo za izvajanje svojih delovnih nalog.

1. Najprej izdelamo pregled (seznam) vseh uporabnikov in njihovih obdelav osebnih podatkov (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.1 Obdelave osebnih podatkov članov knjižnice s strani uporabnikov) ter ga natisnemo.
2. Iz seznama izberemo priporočeno število uporabnikov za pregled (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.5 Postopek kontrole). Izbiro opravimo naključno, vendar je priporočljivo, da na podlagi seznama ugotovimo morebitne vprašljive obdelave uporabnikov in jih izberemo za pregled.
3. Če ne poznamo podatka o tem, kdaj so izbrani uporabniki bili v službi, lahko za te uporabnike najprej izdelamo pregled izvajanja posameznih programskih točk (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.2 Obdelave osebnih podatkov članov knjižnice s strani izbranega uporabnika – zbirni podatki).
4. Nato opravimo pregled obdelave posameznih uporabnikov za določeni dan ali več dni (gl. priročnik Osnovna navodila COBISS3, pogl. 5.12.3 Obdelave osebnih podatkov članov knjižnice s strani izbranega uporabnika). Uporabnike izberemo naključno ali na podlagi izvedbe predhodne točke (gl. tudi vprašanje Zakaj je potreben pregled dnevnikov?).
5. Če ugotovimo neskladja ali "sumljivo" obdelavo osebnih podatkov, se pogovorimo z uporabnikom in, če je potrebno, ukrepamo.
6. Napišemo zapisnike in jih skupaj s pregledom (seznamom) uporabnikov arhiviramo na običajen način.

Proces pregledovanja izvajamo brez izpisovanja osebnih podatkov na papir, saj programska oprema omogoča samo izpis na ekran. V dnevnik se zabeleži tudi, da je podatke videla ali obdelala oseba, ki je opravila pregled.

Praviloma naj bi izvajale pregled osebe, ki ne delajo z osebnimi podatki. Ker je to v manjših knjižnicah težje izvedljivo, lahko pregled opravi nadrejena oseba, in sicer tako, da postopek izvaja uporabnik (knjižničar), nadrejena oseba pa ob njem preverja, ali so bile obdelave osebnih podatkov izvedene skladno z izvajanjem delovnih nalog.

Pri pregledovanju dnevnikov aplikacij uporabljamo navodila iz priročnika Osnovna navodila COBISS3, pogl. 5.12 Pregled obdelav osebnih podatkov v skladu z ZVOP (Zakon o varstvu osebnih podatkov).

Pregled za pretekli mesec opravimo v prvih osmih delovnih dneh v tekočem mesecu. Štejejo tudi sobote. Po tem roku pregled ni več možen, ker se dnevniki arhivirajo in niso več dostopni za pregled. Dnevnike arhivira, varno hrani in po petih letih izbriše IZUM.

Knjižnice izberejo pogostost pregledovanja dnevnikov glede na oceno tveganja. V knjižnicah z višjo oceno tveganja je priporočljivo, da se dnevniki pregledujejo pogosteje in natančneje. Informacijska podpora omogoča mesečno pregledovanje. Mesece, za katere nameravamo opraviti pregled, izberemo naključno in nenapovedano. Vsekakor je spodnja meja pregled enega meseca v koledarskem letu.

Pri pregledu je treba biti pozoren predvsem na:

• skladnost obdelave oz. izvajanja posameznih programskih točk z delovnimi nalogami uporabnika,
• skladnost časa obdelav z delovnim časom uporabnika (možnost, da je kdo drug uporabil pravice za dostop),
• izdelavo posameznih "občutljivih" izpisov (izposoja),
• vpogled v podatke o izposoji gradiva za osebe, ki so v javnosti izpostavljene,
• obdelave, ki so jih izvajali sodelavci IZUM-a.