Polityka bezpieczeństwa danych osobowych w NGO




W poprzednich artykułach o RODO w NGO napisałem o tym jak w ogóle ruszyć temat danych osobowych oraz o obowiązkowych dokumentach. Ten wpis będzie poświęcony innym dokumentom, które możesz ale nie musisz wprowadzić w swojej organizacji. Przede wszystkim polityce bezpieczeństwa danych osobowych.

Polityka prywatności w NGO

Wiele osób uważa, że NGO muszą mieć politykę prywatności. Tak, jak napisałem w poprzednim artykule w tym cyklu, nie ma takiego wymogu prawnego. RODO nie wprowadziło minimalnego zakresu dokumentów (z wyjątkiem rejestru danych). Wręcz przeciwnie nowe przepisy zniosły poprzednio obowiązujące dokumenty. Były to polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. 

Obecnie wymogi RODO skupiają się przede wszystkim na rzetelnym informowaniu co organizacja robi z danymi osobowymi. Liczy się tu przede wszystkim skutek w postaci przekazania zrozumiałej i czytelnej informacji. Mniej istotne jest w jaki sposób to zrobisz. W praktyce, można obejść się bez ogólnego dokumentu na stronie www, umieszczając w kluczowych miejscach stosowne klauzule informacyjne. Oczywiście przy rozbudowanych stronach będzie to prowadziło do małej czytelności i zalewu odwiedzających długimi tekstami. Ważny jest artykuł 13 RODO, który wymienia sporo danych, które jako administrator musisz podać, korzystając z danych osobowych. Dlatego w praktyce polityka prywatności, która jednorazowo zbiera te wszystkie informacje jest oczywistym wyborem. Wtedy wystarczy dodać na stronie krótkie klauzule z linkiem do polityki.

Polityka bezpieczeństwa danych osobowych w NGO

Polityka prywatności dotyczy jednak tylko pewnej części działań NGO z danymi. Co zrobić z pozostałymi obszarami? Co z wolontariuszami, pracownikami, przedstawicielami grantodawców? Tak, tych ostatnich też powinniśmy poinformować, że ich dane przetwarzamy, jeżeli maile od nich z danymi osobowymi lub ich dane kontaktowe są przez nas zapisywane i wykorzystywane (a zwykle są). Można oczywiście, załączać do każdego maila, umowy lub innego dokumentu klauzulę informacyjną. 

Preferuję jednak inne rozwiązanie. Jeden dokument, który rozwiązuje wszystkie problemy RODO. Jest to możliwe, wymaga jednak dobrej analizy danych osobowych (link) oraz przygotowania większego dokumentu prawnego. Dokument ten najczęściej nazywa się polityką bezpieczeństwa danych osobowych, ale można też wybrać inną nazwę. W nim możesz umieścić wszystkie obszary przetwarzania danych w NGO. Zarówno te, zwykle zawarte w polityce prywatności (np.: newsletter, social media), jak i te w sferze wewnętrznej (np. pracownicy, uczestnicy szkoleń). 

Dlaczego polityka bezpieczeństwa jest najlepszym rozwiązaniem RODO?

Polityka bezpieczeństwa jest więc kompleksowym rozwiązaniem RODO w NGO. Informacje można zbudować o rekomendowane podejście warstwowe, czyli informacyjną cebulę 🙂 Osoba której danych potrzebujemy,  dostaje od nas krótką informację (pierwsza warstwa) z linkiem do głównego dokumentu (druga informacja). Jeżeli nie znajdzie szukanych informacji, zostanie przekierowana do kompetentnej osoby (trzecia warstwa). W miarę potrzeb możemy dodać więcej warstw. 

Najważniejsze jednak, że możemy w ten sposób:

  • uniknąć wielu niepotrzebnych załączników (te wszystkie klauzule RODO), 
  • skrócić nielubiane teksty RODO na stronie
  • oszczędzić papier (dodatkowa strona RODO)
  • przekierować wszystkich dociekliwych uczestników projektów do naszej „księgi” RODO
  • być przygotowanym na wiele niespodzianek w temacie RODO 

Jeżeli potrzebujesz opracować politykę bezpieczeństwa danych osobowych dla NGO lub innej pomocy prawnej, zapraszam do kontaktu. 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty