Tym razem o
kolejnych dokumentach, które powinny zostać opracowane i przyjęty do stosowania
w każdym NGO, a w rzeczywistości duża część z organizacji wciąż ich nie
posiada. Obowiązek ochrony danych osobowych wynika z Ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 677). Zgodnie z
art. 3 ust. 2 pkt 1 tej ustawy, wystarczającym warunkiem stosowania tych
przepisów jest sam fakt przetwarzania danych osobowych.
Kto musi stosować przepisy dotyczące ochrony danych osobowych?
danych osobowych, tj.:
- art. 6, definiującego dane osobowe
jako informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej = której tożsamość można określić bezpośrednio lub pośrednio, w
szczególności przez powołanie się na numer,
- art.
7 pkt 2) definiującego przetwarzanie danych jako jakiekolwiek operacje wykonywane
na danych osobowych (…),
- art. 3 ust. 2 pkt 2, zgodnie z którym ustawę
stosować muszą wszyscy (osoby fizyczne, prawne, jednostki organizacyjne z
siedzibą/miejscem zamieszkania w Polsce), którzy przetwarzają dane osobowe w
związku z działalnością zarobkową, zawodową lub dla celów statutowych (tutaj
NGO).
Z tych przepisów wynika, że
ustawę o ochronie danych
osobowych musi stosować każdy podmiot który gromadzi dane o osobach (o ile
pozwalają one na identyfikację tej osoby) i wykonujący jakiekolwiek operacje na
tych danych (zwykłe uszeregowanie lub zgromadzenie w jednym dokumencie też
będzie przetwarzaniem). Co oznacza, że każde NGO musi stosować przepisy Ustawy o ochronie danych osobowych,
jednak nie wszystkie przepisy będą dotyczyły każdego podmiotu.
Warto chwilę zatrzymać się przy
art. 6, ponieważ szerokie ujęcie „danych osobowych” może być problematyczne.
Przykładowo nawet adres e-mail, jeżeli zawiera imię i nazwisko (np.: piotr-jaros@biuro123.pl)
będzie stanowił dane osobowe i podlegał ochronie. A więc jeżeli zrobimy listę
mailową podczas spotkania wolontariuszy, to istnieje bardzo duże
prawdopodobieństwo, że będziemy gromadzić dane osobowe, a przez to będziemy
musieli stosować ustawę o ochronie
danych osobowych.
Jak chronić dane?
działalność NGO jest w jakikolwiek sposób skierowana na zewnątrz, będą
gromadzone dane osobowe, a więc będzie trzeba je chronić. Poprzez ochronę ustawa
przede wszystkim rozumie przyjęcie do stosowania (uchwalenie) dokumentów, które
wdrożą procedury, zasady i opiszą postepowanie z danymi osobowymi w
organizacji.
Jakie dokumenty należy posiadać?
stosować przepisy Ustawy o ochronie danych osobowych. Szczegóły postępowania z
danymi wynikają jednak z rozporządzenia do tej Ustawy, tj. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie §
3 pkt 1 rozporządzenia dokumentacja opisująca sposób przetwarzania danych
osobowych składa się z:
- polityki bezpieczeństwa,
- instrukcji zarządzania systemem informatycznym.