Dokumenty danych osobowych RODO w NGO




W poprzednim artykule zajmowałem się pierwszymi krokami w mierzeniu się z RODO w NGO. Czy to po raz pierwszy w nowym NGO, czy w formie cyklicznego audytu. Jeżeli jesteś już po przeglądzie danych osobowych w Twoim NGO i masz analizę bezpieczeństwa, możesz przejść do etapu dokumentacji (rozliczania) tych obowiązków. Z tego artykułu dowiesz się jakie dokumenty danych osobowych wymaga RODO w NGO i w jaki sposób je przygotować.

Czy dokumenty danych osobowych w NGO są wymagane?

Przed obowiązywaniem RODO, sprawa była dużo prostsza, ponieważ prawo wymagało od nas konkretnych dokumentów.
Teraz, dokumenty zależą głównie od administratora danych i jego analizy bezpieczeństwa danych osobowych. Dlatego etap 1 z poprzedniego wpisu był tak ważny. Ta wolność w doborze środków nie oznacza jednak, że możemy swobodnie założyć, że żadnych dokumentów nie musimy mieć. W dalszej części przedstawię Ci pewne minimum dokumentacji, która powinna być wdrożona. Pamiętaj jednak, że im więcej danych przetwarza Twoje NGO, tym większe prawdopodobieństwo, że potrzebujesz bardziej zaawansowanych papierów.

Rejestr czynności przetwarzania w NGO

Większości, którzy słyszy tą nazwę po raz pierwszy, kojarzy się ona z rejestrowaniem każdego działania dotyczącego danych osobowych. Na szczęście nie jest to aż tak szczegółowy rejestr. Jest to tylko ogólna baza wszystkich działań, które podejmuje administrator danych (czyli Twoje NGO w języku RODO). Ma on najczęściej formę tabeli Excel i punkt po punkcie wymienia poszczególne obszary danych osobowych (np.: pracownicy, wolontariusze, newsletter, kontakt online itd.). Dlaczego ten rejestr jest tak ważny? Bo w praktyce jest to jedyny obowiązkowy dokument RODO.

Rejestr czynności przetwarzania jest obowiązkowy w NGO (?)

Obowiązek ten wynika z art. 30 RODO i najprościej można go wypełnić właśnie w prostej tabelce. Jak już wspomniałem, forma nie jest tu najważniejsza i równie dobrze można stworzyć rejestr w innym narzędziu. Na początku obowiązywania RODO wydawało się, że rejestry nie będą dotyczyć wszystkich. Art. 30 ust. 5 RODO zwalnia podmioty zatrudniające poniżej 250 osób. Niestety interpretacje organów kontroli przyjęły, że rejestr musi wdrożyć każdy podmiot, który przetwarza dane NIE sporadycznie. Szerzej o tym na stronach UODO. Nie wgłębiając się w szczegóły, jeżeli zatrudniacie pracowników, korzystacie z wolontariuszy lub organizujecie stałe działania na rzecz beneficjentów, to na pewno nie można uznać tego za sporadyczne przetwarzanie danych osobowych. W ten sposób wpadacie prosto pod art. 30 RODO i obowiązek rejestru czynności przetwarzania.

Jak sobie poradzić z obowiązkowym rejestrem RODO w NGO.

Jeżeli Wasze działania są rozbudowane, to przede wszystkim polecam skorzystanie z profesjonalnej pomocy prawnika. Wbrew pozorom nie jest łatwo wprowadzić prawidłową podstawę prawną oraz dokonać właściwego rozróżnienia administratorów i podmiotów przetwarzających w ich imieniu dane. W rejestrze powinny znaleźć się wszystkie podmioty, które mają dostęp (= przetwarzają, w języku RODO) do danych gromadzonych przez Twoje NGO. Będą to więc, oprócz standardowego biura rachunkowego i firmy IT, także właściciele mediów społecznościowych, przestrzeni dyskowych, narzędzi do komunikacji i wiele innych. Samodzielne przygotowanie rejestru będzie dużo łatwiejsze dla NGO, które nie mają darczyńców, nie prowadzą rozbudowanych działań online i nie zatrudniają pracowników. Możesz skorzystać ze wstępnego szablonu rejestru, który przygotowałem specjalnie dla małej organizacji. Znajdziesz tam podstawowe kategorie, najczęściej pojawiające się w takiej organizacji.

Czy to już wszystkie dokumenty RODO?

Na tym w zasadzie można zakończyć listę obowiązkowych dokumentów RODO. Oczywiście wiem, że prawie wszyscy mają polityki prywatności na stronach. Nie jest to jednak obowiązkowy dokument, chociaż mocno przydatny. Właśnie o tych dodatkowych, bardzo ułatwiających życie dokumentach RODO będzie kolejny wpis. Zapraszam.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty