środa, 26 kwietnia 2017

Dane osobowe w NGO – część I


Tym razem o kolejnych dokumentach, które powinny zostać opracowane i przyjęty do stosowania w każdym NGO, a w rzeczywistości duża część z organizacji wciąż ich nie posiada. Obowiązek ochrony danych osobowych wynika z Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 677). Zgodnie z art. 3 ust. 2 pkt 1 tej ustawy, wystarczającym warunkiem stosowania tych przepisów jest sam fakt przetwarzania danych osobowych.


Kto musi stosować przepisy dotyczące ochrony danych osobowych?


Odpowiedź wynika z trzech przepisów ustawy o ochronie danych osobowych, tj.:

  • art. 6, definiującego dane osobowe jako informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej = której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer,
  • art. 7 pkt 2) definiującego przetwarzanie danych jako jakiekolwiek operacje wykonywane na danych osobowych (…),
  • art. 3 ust. 2 pkt 2, zgodnie z którym ustawę stosować muszą wszyscy (osoby fizyczne, prawne, jednostki organizacyjne z siedzibą/miejscem zamieszkania w Polsce), którzy przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla celów statutowych (tutaj NGO).


Z tych przepisów wynika, że ustawę o ochronie danych osobowych musi stosować każdy podmiot który gromadzi dane o osobach (o ile pozwalają one na identyfikację tej osoby) i wykonujący jakiekolwiek operacje na tych danych (zwykłe uszeregowanie lub zgromadzenie w jednym dokumencie też będzie przetwarzaniem). Co oznacza, że każde NGO musi stosować przepisy Ustawy o ochronie danych osobowych, jednak nie wszystkie przepisy będą dotyczyły każdego podmiotu.

Warto chwilę zatrzymać się przy art. 6, ponieważ szerokie ujęcie „danych osobowych” może być problematyczne. Przykładowo nawet adres e-mail, jeżeli zawiera imię i nazwisko (np.: piotr-jaros@biuro123.pl) będzie stanowił dane osobowe i podlegał ochronie. A więc jeżeli zrobimy listę mailową podczas spotkania wolontariuszy, to istnieje bardzo duże prawdopodobieństwo, że będziemy gromadzić dane osobowe, a przez to będziemy musieli stosować ustawę o ochronie danych osobowych.

Jak chronić dane?


Można założyć, że jeżeli działalność NGO jest w jakikolwiek sposób skierowana na zewnątrz, będą gromadzone dane osobowe, a więc będzie trzeba je chronić. Poprzez ochronę ustawa przede wszystkim rozumie przyjęcie do stosowania (uchwalenie) dokumentów, które wdrożą procedury, zasady i opiszą postepowanie z danymi osobowymi w organizacji.

Jakie dokumenty należy posiadać?


Zgodnie z powyższym, NGO muszą stosować przepisy Ustawy o ochronie danych osobowych. Szczegóły postępowania z danymi wynikają jednak z rozporządzenia do tej Ustawy, tj. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie § 3 pkt 1 rozporządzenia dokumentacja opisująca sposób przetwarzania danych osobowych składa się z:

  • polityki bezpieczeństwa,
  • instrukcji zarządzania systemem informatycznym.


Jak powinny wyglądać te dokumenty i jak je sporządzić, już wkrótce na blogu.


Brak komentarzy:

Prześlij komentarz