RODO a NGO – jak zastosować nowe przepisy ochrony danych osobowych w małej organizacji?




Ostatni tydzień upłynął pod hasłem
RODO. Można odnieść wrażenie, że dane osobowe są obecnie najważniejszą sprawą
dla wszystkich przedsiębiorców i w ogóle wszystkich działających publicznie.
Czy tak jest w rzeczywistości to już inna kwestia.

 
W tym całym RODOszaleństwie od razu na
wstępie chcę wszystkich uspokoić, że sprawa z RODO nie jest taka straszna,
pilna i pracochłonna jak informuje większość serwisów, w tym tych dla ngo.

RODO w porównaniu do poprzedniej
ustawy o ochronie danych osobowych nie zmienia zbyt wiele w kwestii obowiązków,
a wręcz luzuje wymagania i zmniejsza ilość przeciętnej dokumentacji. Jeżeli
więc reprezentujesz małą lub średnią organizacje pozarządową możesz odetchnąć z
ulgą, gdyż RODO oznacza dla Ciebie mniej obowiązków. Wynika to ze zmiany
systemu ochrony, który od 25 maja 2018 r. (wejście rozporządzenia w życie)
opiera się na dostosowaniu wymogów ochrony danych do stopnia ingerencji i
przetwarzania danych osobowych. W konsekwencji im więcej operacji na danych, im
więcej danych i im większy podmiot (większy skład personalny) tym wymogi będą
surowsze.

Przede wszystkim nie ma już obowiązku
opracowywania i przygotowywania Instrukcji zarządzania systemem informatycznym
i

Polityki bezpieczeństwa danychosobowych.

Ta ostatnia może być nadal przydatna
dla realizacji obowiązków wynikających z RODO, ale równie dobrze można się bez
niej obejść informując osoby, których dane przetwarzamy w każdy możliwy i
efektywny sposób. Bo w RODO nie chodzi o zalew informacji (mógłby to ktoś
wytłumaczyć wszystkim firmom wysyłającym w ostatnich dniach maile?), ale o skuteczne
poinformowanie:
  • kto?
  • w jakim celu?
  • na jakiej podstawie?
gromadzi i przetwarza nasze dane
osobowe.  W rezultacie czasem wystarczy jedno
proste zdanie, które dla oceny zgodności z RODO będzie lepsze niż rozbudowany
kilkustronicowy dokument, którego nikt nie przeczyta. W pierwszej kolejności
należy w ogóle dowiedzieć się czy RODO dotyczy danej organizacji, a dopiero
później zastanawiać się co z tym zrobić.
 
Czy RODO mnie dotyczy?
 
Każdy związany z III sektorem na pewno
zastanawiał się już na ile i czy w ogóle RODO dotyczy sektora? Wbrew pozorom
nie każdy będzie musiał stosować przepisy rozporządzenia, ale będą to naprawdę
nieliczne wyjątki.
 
Kto w ogóle musi się przejmować RODO?
 
ODP: (art. 4. 6 RODO) Każdy, kto przetwarza dane
osobowe:
  1. w sposób zautomatyzowany (np. używa do tego
    komputera),
  2. lub w zbiorach danych (nie używa komputera,
    ale gromadzi dane w zbiorach).
Nie trzeba więc stosować RODO, gdy nie
przetwarzamy danych w żaden z powyższych sposobów. Czy taka sytuacja w ogóle
jest możliwa? Bardzo rzadko, ale tak. Przykładem może być bardzo mała fundacja,
albo stowarzyszenie zwykłe – które nie zatrudnia, nie gromadzi list darczyńców,
wolontariuszy, nie zbiera datków, a dane osobowe to pojedyncze podpisy zarządu
na dokumentach.
Wystarczy jednak gdy dane pojawią się
komputerze albo w papierowym zbiorze (np. zestawienie członków) a już podpadamy
pod RODO.
 
Czym w ogóle są dane osobowe w rozumieniu
rozporządzenia? 
 
dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej”
 
Np.:
Adres
mailowy będzie uznany za dane osobowe, jeżeli będzie zawierał imię i nazwisko.
ALE: sam adres
janek033124@przyklad.pl to już nie dane
osobowe, bo za jago pomocą nie dowiemy się kogo dotyczą. Jeżeli jednak wpiszemy
taki adres do tabeli obok nazwiska właściciela to już są dane osobowe = możemy
zidentyfikować daną osobę oraz dodatkowo jest to już zbiór danych =
przetwarzanie w zbiorze = stosowanie RODO!
 
Co zrobić z RODO?
 
Na pewno
nie ma potrzeby zatrudniać sztabu specjalistów, o ile skala i profil naszej
działalności nie są duże, a dane osobowe przetwarzamy sporadycznie i w
niewielkim stopniu (np. termin profilowanie jest nam obcy
😉)
 
Wystarczy
zachować zdrowy rozsądek i skupić się na trzech obowiązkach:


  1. zabezpieczeniu
    danych „w sposób zapewniający odpowiednie bezpieczeństwo” (RODO art. 5 ust. 1
    pkt f), czyli taki który jest wystarczający dla ilości i istotności danych
    przetwarzanych. W rezultacie chodzi o zabezpieczenie danych poprzez np.: hasła
    dostępu do komputera, zamkniecie ich w jednym miejscu w biurze, ograniczenie
    osób mających dostęp. Przede wszystkim należy wyeliminować wszelkie działania
    narażające dane na utratę: np. wrzucanie danych do sieci publicznej, na otwarte
    serwery, fora itd. Istotne jest, że to my musimy ocenić jakie zabezpieczenia są
    wystarczające i musimy umieć uzasadnić wybrane środki;
  2. informacji,
    krótko i treściwie poinformować o tym co robimy z danymi. Taka informacja musi
    zawierać wszystkie kwestie wymienione w art. 13 RODO i być przedstawiona w
    sposób prosty i czytelny (unikamy bełkotu prawniczego);
  3. aktualizacji tego
    co już mamy (np.: polityki bezpieczeństwa, regulaminów, zasad informacji itd.)
    pod względem dwóch powyższych punktów.
Podsumowując,
warto zachować spokój i przejrzeć co robimy z danymi i jakie dane osobowe
gromadzimy. A następnie zastanowić się czy zabezpieczamy je w sposób
odpowiedni. Oczywiście nikt nie wymaga od nas zabezpieczeń na poziomie sklepu
internetowego, który gromadzi wielkie ilości danych. Na koniec sporządzić
krótką informacje dla osób, których dane gromadzimy i … RODO wdrożone!
 
Oczywiście
są jeszcze rejestry danych i inne obowiązki. Moim zdaniem jednak absolutnie nie
dotyczą wszystkich organizacji. Jeżeli jednak potrzebujesz pomocy co zrobić i
jak wdrożyć, zapraszam do kontaktu.


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty