O danych osobowych (zwanych RODO) w NGO pisałem i mówiłem już wielokrotnie (jeżeli szukasz podstaw, sprawdź tutaj). Jest to jednak temat, który wymaga stałego pilnowania. Ochrona danych osobowych to trochę taka nieustanna walka o idealny świat, w którym nikt bezprawnie naszych danych nie wykorzystuje. Z każdym kolejnym rokiem pojawiają się nowe zagrożenia, a jednocześnie standardy ochrony rosną. Dlatego po kilku latach postanowiłem odświeżyć temat, zaczynając od analizy danych osobowych w NGO.
Praktyka ochrony danych osobowych wciąż się zmienia
Od ostatnich moich artykułów tutaj, świadomość konieczności zabezpieczenia danych osobowych w NGO wzrosła ogromnie. Już prawie nie spotykam prężnie działających organizacji, które w ogóle nie podjęły tematu (co zdarzało się nagminnie parę lat temu). Wciąż jednak praktyka w naszym sektorze odbiega od standardów ochrony danych w biznesie, a wiele działań podejmowanych jest chaotycznie, bez spójnego planu. Dodatkowo ngo-sy podejmują bardzo dużo działań, które przetwarzają dane o wiele bardziej wrażliwe niż w zwykłym sklepie online (np.: darowizny, potrzeby medyczne podopiecznych, listy uczestnictwa itd). Dlatego postanowiłem zebrać tu parę moich wskazówek, jak kompleksowo zabrać się za dane osobowe, czyli potoczne RODO. Zapraszam do mojej mapy drogowej.
Jakie dane osobowe przetwarzamy w NGO?
Często NGO nie wiedzą od czego w ogóle zacząć? Ja sugeruję rozpoczęcie prac od burzy mózgów, jakie dane przetwarzacie w Twojej organizacji. Najlepiej zebrać kluczowe osoby w zespole i zastanowić się, co robicie z danymi osobowymi. Możesz oprzeć się na mojej checkliście poniżej. Jeżeli wolisz graficzne przedstawienie na końcu wpisu znajdziesz infografikę z analizą.
- Dane osobowe wewnątrz organizacji:
- Kadra, czyli wszystkie osoby zatrudnione na różnych podstawach
- Kontrahenci – wszyscy którzy wystawiają wam faktury i ewentualnie Ci, którym wy wystawiacie rachunki/faktury), w tej kategorii mogą znaleźć się również osoby, które będą przetwarzały dane w naszym imieniu (przetwarzający)
- Wolontariusze
- Narzędzia do komunikacji – e-mail (skrzynki pocztowe i ich dostawcy, komunikatory online: Slack, Messenger, Signal itp.)
- Przechowywanie w chmurze dokumentów (Google Drive, Onedrive, iCloud itp.)
- Systemy zarządzania zadaniami lub beneficjentami/darczyńcami (np. Asana, Clockify itp).
- Dane osobowe na zewnątrz organizacji:
- Beneficjenci (jeżeli ich dane przetwarzamy, bo nie jest to konieczne, takim przykładem jest lista obecności dla wydarzenia projektowego)
- Darczyńcy, jeżeli ich mamy, to musimy księgować ich wpłaty
- Grantodawcy, a w zasadzie ich przedstawiciele (np. opiekun projektu z ministerstwa – tak jego/jej dane też przetwarzacie i powinniście o tym poinformować)
- Działania online – najszersza kategoria: strona www, media społecznościowe, newsletter, blog i komentarze, forum itp.
- Wasze kontakty, czyli osoby zainteresowane wami;) chodzi przede wszystkim o osoby, które napiszą do waszego NGO, zadzwonią, zostawią dane w formularzu, a nie są (jeszcze) żadną z powyższych kategorii.
Analiza ryzyka danych osobowych w NGO
Warto zastanowić się od razu, jakie systemy zabezpieczeń stosujecie (lub czy w ogóle je stosujecie) dla konkretnych obszarów danych. Dobrą praktyką jest analiza ryzyka naruszeń danych osobowych, zwłaszcza w przypadku narzędzi IT. Powinniście zweryfikować, czy systemy, z których korzystacie, nie przekazują danych poza obszar EOG (czego warto unikać) i czy gwarantują ochronę zgodną z RODO (GDPR). Więcej napiszę o tym w części poświęconej praktycznym przykładom. Tutaj warto po prostu wykorzystać przeglądarkę i sprawdzić po hasłach bezpieczeństwo danych osobowych (np. przez niezależne analizy takie jak ta). A przede wszystkim starać się minimalizować wykorzystywanie przez waszą organizację danych osobowych.
Bezpieczeństwo danych osobowych w NGO
Zgodnie z zasadami RODO nie jesteśmy obowiązani do zapewnienia absolutnego bezpieczeństwa, bo nie jest to w ogóle możliwe, nawet dysponując zasobami kadrowymi i finansowymi. Wymagane jest jednak zadbanie o bezpieczeństwo w takim stopniu, w jakim korzystamy i przetwarzamy dane osobowe. Oznacza to, że jeżeli Twoja organizacja gromadzi sporo danych podopiecznych i darczyńców, to będzie od niej wymagany wyższy stopień ochrony, niż od NGO, które w ogóle nie przetwarza danych osobowych odbiorców swoich działań. Do tego należy dołożyć zasadę minimalizmu, czyli gromadzimy tylko takie dane jakie są potrzebne. Przykładem mogą być dane wolontariuszy. Czy zawsze potrzebujemy dane dotyczące wykształcenia, zdrowia lub sytuacji materialnej? Zwykle potrzebne będą tylko dane do umowy i ubezpieczenia.
Na tym etapie powinieneś mieć już dostateczną wiedzę na temat danych osobowych w Twoim NGO. Jeżeli potrzebujesz pomocy w takiej analizie zapraszam do kontaktu. Zbadane obszary danych to faktyczna baza, na której możesz dopiero zająć się prawnymi obowiązkami RODO. Dość częstym błędem jest zaczynanie od drugiej strony. Czyli przyjmowanie dokumentów (lepszych lub gorszych wzorów z Internetu) w oderwaniu od tego co tak naprawdę z danymi osobowymi dzieje się w NGO. W kolejnym artykule zajmę się tymi dokumentami RODO, czyli drugim etapem zabezpieczenia danych osobowych w NGO. Zapraszam już wkrótce.
Infografika
Poniżej moja infografika z podstawową analizą danych osobowych w NGO. Przechodząc przez te podstawowe obszary przetwarzania danych osobowych, łatwo zorientujesz się co tak naprawdę dzieje się z danymi w Twoim NGO. Infografika może także pomóc Ci w rozstrzygnięciu, czy potrzebujecie pomocy specjalisty od RODO, czy też jesteście sobie w stanie sami pomóc. Dodatkowo, obszary analizy będą bardzo przydatne w sporządzaniu dalszych dokumentów, o czym dowiesz się w następnym artykule.