sobota, 2 czerwca 2018

RODO a NGO - jak zastosować nowe przepisy ochrony danych osobowych w małej organizacji?




Ostatni tydzień upłynął pod hasłem RODO. Można odnieść wrażenie, że dane osobowe są obecnie najważniejszą sprawą dla wszystkich przedsiębiorców i w ogóle wszystkich działających publicznie. Czy tak jest w rzeczywistości to już inna kwestia.

W tym całym RODOszaleństwie od razu na wstępie chcę wszystkich uspokoić, że sprawa z RODO nie jest taka straszna, pilna i pracochłonna jak informuje większość serwisów, w tym tych dla ngo.

RODO w porównaniu do poprzedniej ustawy o ochronie danych osobowych nie zmienia zbyt wiele w kwestii obowiązków, a wręcz luzuje wymagania i zmniejsza ilość przeciętnej dokumentacji. Jeżeli więc reprezentujesz małą lub średnią organizacje pozarządową możesz odetchnąć z ulgą, gdyż RODO oznacza dla Ciebie mniej obowiązków. Wynika to ze zmiany systemu ochrony, który od 25 maja 2018 r. (wejście rozporządzenia w życie) opiera się na dostosowaniu wymogów ochrony danych do stopnia ingerencji i przetwarzania danych osobowych. W konsekwencji im więcej operacji na danych, im więcej danych i im większy podmiot (większy skład personalny) tym wymogi będą surowsze.


Przede wszystkim nie ma już obowiązku opracowywania i przygotowywania Instrukcji zarządzania systemem informatycznym i Polityki bezpieczeństwa danychosobowych.

Ta ostatnia może być nadal przydatna dla realizacji obowiązków wynikających z RODO, ale równie dobrze można się bez niej obejść informując osoby, których dane przetwarzamy w każdy możliwy i efektywny sposób. Bo w RODO nie chodzi o zalew informacji (mógłby to ktoś wytłumaczyć wszystkim firmom wysyłającym w ostatnich dniach maile?), ale o skuteczne poinformowanie:
  • kto?
  • w jakim celu?
  • na jakiej podstawie?
gromadzi i przetwarza nasze dane osobowe.  W rezultacie czasem wystarczy jedno proste zdanie, które dla oceny zgodności z RODO będzie lepsze niż rozbudowany kilkustronicowy dokument, którego nikt nie przeczyta. W pierwszej kolejności należy w ogóle dowiedzieć się czy RODO dotyczy danej organizacji, a dopiero później zastanawiać się co z tym zrobić.

Czy RODO mnie dotyczy?

Każdy związany z III sektorem na pewno zastanawiał się już na ile i czy w ogóle RODO dotyczy sektora? Wbrew pozorom nie każdy będzie musiał stosować przepisy rozporządzenia, ale będą to naprawdę nieliczne wyjątki.

Kto w ogóle musi się przejmować RODO?

ODP: (art. 4. 6 RODO) Każdy, kto przetwarza dane osobowe:
  1. w sposób zautomatyzowany (np. używa do tego komputera),
  2. lub w zbiorach danych (nie używa komputera, ale gromadzi dane w zbiorach).
Nie trzeba więc stosować RODO, gdy nie przetwarzamy danych w żaden z powyższych sposobów. Czy taka sytuacja w ogóle jest możliwa? Bardzo rzadko, ale tak. Przykładem może być bardzo mała fundacja, albo stowarzyszenie zwykłe – które nie zatrudnia, nie gromadzi list darczyńców, wolontariuszy, nie zbiera datków, a dane osobowe to pojedyncze podpisy zarządu na dokumentach.
Wystarczy jednak gdy dane pojawią się komputerze albo w papierowym zbiorze (np. zestawienie członków) a już podpadamy pod RODO.

Czym w ogóle są dane osobowe w rozumieniu rozporządzenia? 

dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”

Np.:
Adres mailowy będzie uznany za dane osobowe, jeżeli będzie zawierał imię i nazwisko. ALE: sam adres janek033124@przyklad.pl to już nie dane osobowe, bo za jago pomocą nie dowiemy się kogo dotyczą. Jeżeli jednak wpiszemy taki adres do tabeli obok nazwiska właściciela to już są dane osobowe = możemy zidentyfikować daną osobę oraz dodatkowo jest to już zbiór danych = przetwarzanie w zbiorze = stosowanie RODO!

Co zrobić z RODO?

Na pewno nie ma potrzeby zatrudniać sztabu specjalistów, o ile skala i profil naszej działalności nie są duże, a dane osobowe przetwarzamy sporadycznie i w niewielkim stopniu (np. termin profilowanie jest nam obcy😉)

Wystarczy zachować zdrowy rozsądek i skupić się na trzech obowiązkach:


  1. zabezpieczeniu danych „w sposób zapewniający odpowiednie bezpieczeństwo” (RODO art. 5 ust. 1 pkt f), czyli taki który jest wystarczający dla ilości i istotności danych przetwarzanych. W rezultacie chodzi o zabezpieczenie danych poprzez np.: hasła dostępu do komputera, zamkniecie ich w jednym miejscu w biurze, ograniczenie osób mających dostęp. Przede wszystkim należy wyeliminować wszelkie działania narażające dane na utratę: np. wrzucanie danych do sieci publicznej, na otwarte serwery, fora itd. Istotne jest, że to my musimy ocenić jakie zabezpieczenia są wystarczające i musimy umieć uzasadnić wybrane środki;
  2. informacji, krótko i treściwie poinformować o tym co robimy z danymi. Taka informacja musi zawierać wszystkie kwestie wymienione w art. 13 RODO i być przedstawiona w sposób prosty i czytelny (unikamy bełkotu prawniczego);
  3. aktualizacji tego co już mamy (np.: polityki bezpieczeństwa, regulaminów, zasad informacji itd.) pod względem dwóch powyższych punktów.
Podsumowując, warto zachować spokój i przejrzeć co robimy z danymi i jakie dane osobowe gromadzimy. A następnie zastanowić się czy zabezpieczamy je w sposób odpowiedni. Oczywiście nikt nie wymaga od nas zabezpieczeń na poziomie sklepu internetowego, który gromadzi wielkie ilości danych. Na koniec sporządzić krótką informacje dla osób, których dane gromadzimy i … RODO wdrożone!

Oczywiście są jeszcze rejestry danych i inne obowiązki. Moim zdaniem jednak absolutnie nie dotyczą wszystkich organizacji. Jeżeli jednak potrzebujesz pomocy co zrobić i jak wdrożyć, zapraszam do kontaktu.


Brak komentarzy:

Prześlij komentarz