среда, 9 февраля 2011 г.

ДВА ШАГА ВПЕРЕД, ШАГ НАЗАД?

Закон РФ «О персональных данных» от 27.07.2006 г. N 152-ФЗ коснулся и библиотек, потому что при записи в библиотеку читатель сообщает о себе сведения, относящиеся, согласно этого Закона, к персональным данным, в том числе «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Далеко не все, но многие из перечисленных данных, необходимы при записи читателя в библиотеку и вносятся в читательскую карточку или формуляр.
Что требует Закон РФ «О персональных данных»? Если коротко: тщательно оберегать полученные данные, ограничить доступ к ним внутри и вне библиотеки, не разглашать их без официальных запросов соответствующих учреждений.

Соблюсти все требования Закона нетрудно в традиционной библиотеке, где запись читателей осуществляется без применения новейших информационных технологий. На мой взгляд, и в новых условиях запись не должна измениться по перечню сведений о читателе, ведь информация о нем заносится в читательский формуляр или читательскую карточку, который (-ая) потом оказывается в картотеке. Достаточно заключить с читателем дополнительное соглашение о том, что он не против предоставления сведений о себе и о том, что к ним будут иметь доступ сотрудники библиотеки. Картотека формуляров или карточек в конце рабочего дня убирается в запирающийся шкаф. Доступ к картотеке ограничивается сотрудниками отдела. А далее, выполняя Закон, в процессе обслуживания не следует выдавать читательский формуляр на руки читателю, не сообщать читателям никаких сведений о других читателях, даже телефона читателя-задолжника, у которого задержалась часто спрашиваемая книга и т.п., то есть не делать того, что каким-то образом будет противоречить Закону РФ «О персональных данных». Не думаю, что это практиковалось в библиотеках раньше.

Совсем по-другому складывается ситуация в библиотеках, где все библиотечные процессы компьютеризированы и объединены в единую сеть, как, например, в нашей Библиотеке-читальне им. И.С. Тургенева, комплексно компьютеризированной публичной библиотеке. В настоящее время Библиотека работает в АИБС «АбсотекЮникод». Все основные виды деятельности, включая обслуживание пользователей, автоматизированы. Автоматизирован и процесс записи читателей в Библиотеку. К полной комплексной компьютеризации мы стремились, ее достигли, ею гордимся и дорожим. И совсем не хотелось бы отступать с занятых рубежей, но, наверное, частично придется это сделать.
В чем суть моего неудовольствия? Читатель, записывающийся в Библиотеку в секторе информации и записи читателей (СИЗЧ), предоставляет сотруднику о себе многие персональные сведения, которые заносятся в электронную читательскую карточку (ЭЧК), т.е. в читательскую электронную базу данных (ЧЭБД). О заключаемом читателем с Библиотекой Договоре повторяться не буду (см. предыдущий абзац).
Основная трудность защиты персональных данных, занесенных в ЧЭБД, связана с тем, что ее нужно защитить: 1. от внешнего вмешательства; 2. ограничить допуск к ней внутри библиотеки, а это вступает в противоречие со смыслом комплексной компьютеризации.
Решение первого вопроса, вроде бы, будет происходить централизованно, может, даже деньги под это выделят, но, скорее всего, сделают что-то за счет же библиотек. Решение второго – куда сложнее, потому что с момента внесения информации о читателе, она становится доступной с любого служебного компьютера, которые подключены к АИБС. Реально исправить что-либо в персональных данных не может никто из сотрудников Библиотеки (права не прописаны), кроме тех, кто работает в СИЗЧ, но просмотреть и скопировать записи могут все, чьи служебные компьютеры включены в АИБС. Таким образом, с одной стороны, имеющаяся информация о читателях в залах значительно облегчает и упрощает обслуживание, с другой – подвергается ее дополнительному раскрытию.
Как выходить из создавшегося положения? Путей несколько, но все они в разной степени отменяют комплексную компьютеризацию:
1. Записывать читателей только на бумажный носитель, создавая при этом печатную картотеку читательских карточек, как в традиционной библиотеке. При этом лишить себя быстроты, мобильности и гибкости в обслуживании.
2. Заблокировать доступ к ЭЧБД всем сотрудникам библиотеки. Последствия те же.
3.Отсечь от сети компьютеры, на которых работают сотрудники СИЗЧ. Тогда не будет доступа к ЭЧБД. Последствия те же.
4. Полумера: сократить перечень персональных данных, которые вносятся в ЭЧБД, чтобы как-то уменьшить нашу информированность о персоне читателя. Последствия: все процессы обслуживания остаются без изменения по принципу: «нет данных, нет проблемы».
А как происходит запись читателей в ваших библиотеках, уважаемые коллеги, в свете требований упомянутого закона?

2 комментария:

  1. Ограничить доступ - не значит запретить.

    Это значит:
    1) создать организационно-распорядительную документацию, проще говоря - регламенты доступа к персональным данным. Кто, когда, к каким данным может иметь доступ.
    2) обеспечить выполнение данных регламентов
    3) персонализировать доступ к защищенным данным и вести аудит (логирование) всех действий по работе с ПД
    4) шифровать каналы передачи персональных данных..
    5) еще ряд мероприятий
    6) сертифицировать библиотеку по требованием ФСТЭК (для чего и нужны 1-4)
    после чего
    7) продолжайте работать) с персональными данными

    ОтветитьУдалить
  2. Ограничить доступ в нашей библиотеке - это, в значительной мере, запретить. Ограничение, т.е. уменьшение числа сотрудников,имеющих доступ к персональным данным, ведет в перспективе к отмене одной из превосходных особенностей комплексно компьютеризированной библиотеки: работе в сети с возможностью просмотра любого читательского формуляра тогда, когда в этом возникает необходимость, не вставая со своего рабочего места. Я это уже упоминала. Да, еще. Скорее всего, то, что Вы перечисляете в 1-6 п.п. требует дополнительной оплаты за доработку программы?

    ОтветитьУдалить