Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach

Niemal każda NGO zbiera lub będzie zbierać dane osobowe. W związku z tym musi stosować się do RODO i wynikających z niego obowiązków. Zebraliśmy podstawowe informacje na temat ochrony danych osobowych wg RODO istotne dla organizacji pozarządowych.

RODO od 25 maja 2018. Nowe zasady ochrony danych osobowych – również w NGO

25 maja 2018 r. zaczynają obowiązywać przepisy RODO, czyli europejskie ogólne rozporządzenie o ochronie danych osobowych (pełna nazwa: Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych). Przepisy te dotyczą również organizacji pozarządowych i wskazują im jakie mają obowiązki przy przetwarzaniu danych osobowych.

Trudno wskazać absolutne minimum w przygotowaniu organizacji pozarządowych do RODO – bo zgodnie z koncepcją RODO postępowanie z danymi osobowymi oparte jest na oszacowaniu ryzyka. W zależności od wyników oceny ma być dostosowany tryb postępowania i na tej podstawie mają być dobrane odpowiednie środki ochrony danych osobowych.

Tak więc postępowanie dotyczące ochrony danych osobowych w organizacji pozarządowej zależy m.in. od tego czyje, jakie dane są przetwarzane, jakie czynności są wykonywane przy przetwarzaniu, komu są przekazywane, jakie jest ryzyko utraty danych, ich wycieku i jaki to może mieć konsekwencje dla osób których dane dotyczą. Dlatego w różnych organizacjach zasady ochrony danych będą różnie wyglądały.

Europejskie rozporządzenie o ochronie danych nie wskazuje wprost żadnych konkretnych sposobów zabezpieczeń danych osobowych ani dokumentów jakie trzeba posiadać aby wypełnić obowiązki związane z RODO. To oznacza, że każda organizacja pozarządowa musi samodzielnie opracować dokumenty i procedury ochrony danych – stosując podejście oparte na szacowaniu ryzyka i w oparciu o zasady wynikające z RODO.

Jedną z podstawowych zasad RODO jest zasada rozliczalności, która oznacza, że organizacja pozarządowa musi wykazać, że wywiązuje się z obowiązku ochrony danych i że stosuje zasady przetwarzania danych osobowych określone w RODO.

Więcej o nowym podejściu w ochronie danych osobowych wg RODO można przeczytać w informacji „Nowe zasady ochrony danych osobowych. Pierwszeństwo przepisów UE”. Bardzo przydatną publikację, zawierającą przykładowe kroki przygotowujące organizacje pozarządowe do RODO, opracowała Fundacja Panoptykon – zobacz: panoptykon.org/poradnik-RODO.

RODO. Podstawowe pojęcia

RODO odnosi się m.in. do takich pojęć jak administrator danych osobowych i podmiot przetwarzający dane osobowe.

Administrator danych osobowych to podmiot, który decyduje o zbieraniu danych osobowych – czyje dane zbiera, w jakim celu. W przypadku organizacji pozarządowych pojęcie administratora danych osobowych odnosi się zazwyczaj do organizacji jako całego podmiotu (stowarzyszenia, fundacji). Nie jest to konkretna osoba fizyczna, która jest odpowiedzialna za przetwarzanie danych w organizacji, tylko cała organizacja.

Podmiot przetwarzający dane osobowe (można też spotkać się z określeniem „procesor”) – to podmiot przetwarzający dane w imieniu administratora (to np. firma ewaluacyjna, która otrzymuje dane beneficjentów projektów od administratora – organizacji, która realizowała projekt). W niektórych projektach organizacje pozarządowe mogą być podmiotami przetwarzającymi dane na zlecenie instytucji zlecającej wykonanie zadania publicznego – wtedy to ta instytucja ustala zakres i cele zbierania danych osobowych (bardzo często tak się dzieje np. przy realizacji projektów dofinansowanych przez PFRON).

W poniższym opracowaniu bardziej skupiamy się na obowiązkach administratora danych – największa odpowiedzialność i największy trud wdrożenia RODO ciąży właśnie na administratorach.

Krok pierwszy – sprawdź czy RODO ma zastosowanie do organizacji

Żeby sobie odpowiedzieć, czy organizacja pozarządowa musi przygotować się do RODO trzeba sprawdzić, czy NGO posiada dane osobowe. Przykładowe grupy osób, których dane mogą być przetwarzane:

  • członkowie stowarzyszenia
  • pracownicy i współpracownicy
  • wolontariusze
  • darczyńcy
  • użytkownicy serwisu internetowego
  • odbiorcy newsletterów
  • klienci/beneficjenci
  • stypendyści
  • uczestnicy szkoleń

Czy każda organizacja pozarządowa będzie przetwarzała dane osobowe i będzie musiała stosować się do RODO? Trudno wyobrazić sobie organizację, która może stwierdzić, że nie przetwarza żadnych danych, a więc jej RODO nie dotyczy. Często dane po prostu muszą być zbierane – np. stowarzyszenie nie może funkcjonować nie przetwarzając danych swoich członków. Często też przetwarzanie danych jest obowiązkiem, który wynika z przepisów prawa (np. dane pracowników). Ale im mniej danych i mniejszy zakres czynności wykonywanych w procesie przetwarzania danych tym mniej obowiązków dla organizacji w związku z ochroną danych.

Krok drugi – poznaj podstawowe zasady przetwarzania danych osobowych

RODO wskazuje szereg zasad, których należy przestrzegać przy przetwarzaniu danych osobowych. Zasady te mają przełożenie na cały proces przetwarzania danych osobowych, więc warto je mieć uświadomione na samym początku wdrażania RODO. Ponadto zasady przekładają się na kolejne wymienione kroki – np. na obowiązek informacyjny, czy na odpowiednie zabezpieczenie danych.

  1. Zgodność z prawem, przejrzystość, rzetelność – sposób przetwarzania danych powinien być oparty na podstawach prawa, być jasny i czytelny dla osoby, której dane dotyczą, która ma prawo wiedzieć po co dane są zbierane i co się z nimi dzieje. Więcej na ten temat podstaw prawnych do zbierania i przetwarzania danych jest opisana w kroku piątym. Zasada ta ma też przełożenie na wywiązywanie się z obowiązku informacyjnego (opisany w kroku dziewiątym).
  2. Ograniczenie celem – przetwarzanie danych odbywa się tylko w konkretnych i uzasadnionych celach (trzeba umieć dookreślić po co, w jakim celu dane są przetwarzane – czy faktycznie muszą być zbierane).
  3. Adekwatność, niezbędność i minimalizacja – zbierane i przetwarzane są tylko te dane, które niezbędne do ustalonych celów przetwarzania danych. To też oznacza, że zbierając konkretne dane osobowe trzeba mieć pewność, że faktycznie są one niezbędne (np. czy w danym przypadku jest potrzebny PESEL).
  4. Prawidłowość – dane są prawidłowe, co też oznacza np. ich prostowanie w razie potrzeby.
  5. Maksymalny czas przetwarzania – trzeba ustalić przez jaki okres dane będą przetwarzane. Okres ten jest ustalany m.in. ze względu na podstawę prawną i cele przetwarzania. Po ustalonym czasie dane trzeba usunąć.
  6. Poufność i integralność – oznacza odpowiednie zabezpieczenie danych osobowych. Należy dbać o ochronę przed niedozwolonym czy niezgodnym z prawem przetwarzaniem; utratą danych, zniszczeniem lub uszkodzeniem. W tym celu należy dobrać odpowiednie środki techniczne lub organizacyjne zabezpieczające dane osobowe.
  7. Rozliczalność – trzeba móc wykazać, że dane są przetwarzane zgodnie z zasadami wymienionymi powyżej (1-7).

Zgodnie z RODO wszystkie zasady ochrony danych osobowych powinny być uwzględniane już na etapie projektowania usług czy urządzeń (często można się spotkać z angielskojęzycznym określeniem – privacy by design) oraz są stosowane domyślnie (privacy by default). To oznacza, że np. już w fazie pisania projektu NGO powinno mieć na uwadze zasady przetwarzania danych osobowych, czyli już wtedy trzeba się zastanowić czy dane będą zbierane, a jeśli tak, to mieć na uwadze wszystkie zasady ochrony danych.

Krok trzeci – ustal proces przetwarzania danych w organizacji – „mapowanie”

Na tym etapie trzeba się przyjrzeć  „drodze” przetwarzania danych – jak obecnie wygląda zbieranie, gdzie są zapisywane, kto ma do nich wgląd, komu są przekazywane i udostępniane oraz w jaki sposób.

Proces przetwarzania danych będzie wyglądał inaczej w każdej organizacji pozarządowej w stosunku do różnych grup osób i różnych kategorii danych.

Do mapowania oraz sprawdzenia zgodności z zasadami przetwarzania danych pomocne może być wykorzystanie – rejestru przetwarzania danych (patrz krok czwarty). Tworzenie rejestru nie jest obowiązkowe dla każdej organizacji, ale może być przydatny, do przyjrzenia się danym w organizacji.

Krok czwarty – rejestr czynności przetwarzania danych (art. 30 RODO)

RODO nie nakłada obowiązku prowadzenia tego rejestru przez wszystkie organizacje pozarządowe. Rejestr powinien być prowadzony jeśli:

  • zatrudnienie w organizacji wynosi powyżej 250 osób,
  • istnieje ryzyko naruszenia praw i wolności osób, których dane dotyczą,
  • przetwarzanie danych nie jest sporadyczne,
  • przetwarzane są tzw. dane wrażliwe oraz wyroki skazujące i dotyczące naruszeń prawa.

Nawet jeśli organizacja uważa, że nie ma obowiązku prowadzenia rejestru czynności przetwarzania danych, to warto rozważyć używanie tego narzędzia – może być pomocne do zebrania w jednym miejscu („ogarnięcia”) wszystkich przetwarzanych danych osobowych oraz informacji nt. procesu przetwarzania danych.

Przykładowy rejestr czynności przetwarzania danych osobowych można znaleźć na stronach UODO (Urzędu Ochrony Danych Osobowych (można tu też znaleźć rejestr kategorii czynności przetwarzania danych – ten rejestr dotyczy podmiotów przetwarzających, a nie administratorów danych osobowych).

Krok piąty – ustal podstawę prawną przetwarzania danych osobowych (przesłanki legalizacyjne)

Określenie podstawy prawnej przetwarzania danych osobowych jest jedną z podstawowych zasad przetwarzania danych, ale jest konieczne m.in. do wywiązania się z obowiązku informacyjnego wobec osób, których dane organizacja przetwarza (krok dziewiąty). RODO wskazuje odrębne podstawy prawne do przetwarzania tzw. danych zwykłych oraz danych wrażliwych.

Dane zwykłe (art. 6 RODO)

RODO wymienia 6 podstaw prawnych uprawniających do przetwarzania danych osobowych tzw. „zwykłych”:

  1. zgoda osoby, której dane dotyczą (o zgodzie zobacz: „Kiedy i jaka zgoda na przetwarzanie danych osobowych”);
  2. umowa (wtedy, gdy z osobą, której dane dotyczą łączy organizację jakaś umowa, która określa strony umowy, a więc i dane osoby);
  3. obowiązek prawny (określony innymi przepisami, np. kodeksem pracy, ustawą o systemie ubezpieczeń społecznych, itp.);
  4. żywotne interesy osoby, której dane dotyczą – trzeba móc te interesy wykazać, np.  ochrona zdrowia, życia;
  5. zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. prawnie uzasadniony interes administratora.

Więcej o podstawach prawnych przetwarzania danych osobowych można znaleźć w informacji: „Kiedy NGO może zbierać dane osobowe”. Warto też zapoznać się z webinarium dotyczącym zgody na przetwarzanie danych – są tam nie tylko informacje o zgodach, ale też o pozostałych przesłankach legalizacyjnych.

zobacz nagrania z webinarium:
4 rzeczy, które musisz wiedzieć o RODO
Wszystko o zgodzie na przetwarzanie danych osobowych

Dane wrażliwe (art. 9 RODO)

Do przetwarzania szczególnych kategorii danych osobowych (tzw. danych wrażliwych) RODO wskazuje odrębne podstawy prawne.

Szczególne kategorie danych osobowych dotyczą: pochodzenia rasowego lub etnicznego, zdrowia,  seksualności, poglądów politycznych, religii, światopoglądu, przynależności do związków zawodowych, danych genetycznych, danych biometrycznych służących do jednoznacznego zidentyfikowania osoby fizycznej.

Zgodnie z RODO dane wrażliwe można przetwarzać wyłącznie w następujących przypadkach:

  1. na podstawie wyraźnej zgody;
  2. w celu wypełnienia obowiązków przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
  3. ze względu na ochronę żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (w sytuacji gdy osoba, której dane dotyczą nie ma możliwości wyrażenia zgody);
  4. w ramach uprawnionej działalności fundacji, stowarzyszeń (oraz innych  niezarobkowych podmiotów o celach politycznych, światopoglądowych, religijnych lub związkowych)  –  pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. dane zostały upublicznione przez osobę, której dane dotyczą;
  6. ustalenie, dochodzenie lub obrona roszczeń oraz sprawowanie wymiaru sprawiedliwości przez sądy;
  7. w związku z ważnym interesem publicznym (na podstawie prawa Unii lub prawa państwa członkowskiego);
  8. do celów profilaktyki i opieki zdrowotnej, zabezpieczenia społecznego, do celów medycyny pracy, zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (na podstawie przepisów prawa lub zgodnie z umową z pracownikiem służby zdrowia);
  9. w interesie publicznym w dziedzinie zdrowia publicznego, np. w związku z ochroną przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych (na podstawie przepisów prawa, po spełnieniu określonych wymogów);
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (na podstawie określonych przepisów prawa, po spełnieniu odpowiednich wymogów).

Krok szósty – przeprowadź ocenę (analizę) ryzyka i stwórz politykę bezpieczeństwa (art. 32 RODO)

Analiza ryzyka jest kluczowym etapem do wdrożenia RODO w organizacji. Można powiedzieć, że ochrona danych osobowych wg RODO opiera się na analizie ryzyka – postępowanie z danymi osobowymi oparte jest na oszacowaniu ryzyka.

Analiza ryzyka ma pokazać niebezpieczeństwa i zagrożenia dla danych osobowych –  do wyników tej oceny powinien być dostosowany tryb postępowania i wybór odpowiednich środków zaradczych. O tym jak przeprowadzić ocenę ryzyka, z jakich etapów się składa można przeczytać w informacji: „Nowe zasady ochrony danych osobowych. Analiza ryzyka”. Zobacz też: „4 rzeczy, które musisz wiedzieć o RODO”.

Analiza ryzyka ma prowadzić do wdrożenia środków technicznych i organizacyjnych aby zapewnić odpowiedni poziom bezpieczeństwa (dostosowany do poziomu ryzyka). Te środki powinny zostać opisane w polityce bezpieczeństwa (po to, żeby osoby mające je stosować, wiedziały jak to robić – ponadto realizujemy też w ten sposób zasadę rozliczalności).

Krok siódmy – przeprowadź ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Pogłębiona analiza ryzyka (art. 35 RODO)

Analiza skutków planowanych działań nie zawsze jest obowiązkowa (w przeciwieństwie do analizy ryzyka która zawsze powinna być dokonana).

Analizę skutków należy przeprowadzić jeśli w organizacji:

  • istnieje wysokie ryzyko naruszenia praw lub wolności (tak wyszło z oceny ryzyka);
  • następuje systematyczne, zautomatyzowane przetwarzanie czynników osobowych, np. profilowanie;
  • następuje przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (danych „wrażliwych” opisanych w art. 9 RODO), lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
  • jest prowadzone systematyczne monitorowania na dużą skalę miejsc dostępnych publicznie

Analiza skutków ma  zagwarantować dobór środków technicznych i organizacyjnych, które zapewnią przetwarzanie danych w zgodzie z przepisami RODO.

Krok ósmy – powołaj inspektora ochrony danych osobowych (art. 37 RODO)

Powołanie inspektora ochrony danych osobowych (podobnie jak pogłębiona analiza ryzyka z kroku siódmego) też nie zawsze jest obowiązkowe.

Obowiązek powołania inspektora ochrony dany osobowych dotyczy:

  • podmiotów publicznych;
  • administratorów i podmiotów, których główna działalność polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych;
  • w sytuacjach, gdy przepisy szczególne tego wymagają (np. polskie ustawy)

W pozostałych przypadkach powołanie inspektora jest fakultatywne. Jednak nawet jeśli organizacja pozarządowa nie musi powołać inspektora, może uznać z innych względów, że jest to wskazane. Inspektor może być pomocny w większych organizacjach pozarządowych, które zatrudniają wielu pracowników i przetwarzają dużą ilość danych. Inspektor może być też osobą wynajętą – osoba, z której usług korzystamy (podobnie jak np. przy korzystaniu z usług biura księgowego etc.).

Krok dziewiąty – przestrzegaj praw osób, których dane są przetwarzane oraz wypełniaj obowiązek informacyjny (art. 12, 14 RODO)

Osoby, których dane dotyczą mają prawo wiedzieć, co dzieje się z ich danymi i na co mają wpływ – powinni być o tym powiadomieni w sposób zrozumiały, prostym językiem.

Spełnienie obowiązku informacyjnego jest jednym z ważniejszych obowiązków administratora.

Zakres obowiązku informacyjnego jest uzależniony m.in. od podstawy prawnej przetwarzania danych osobowych oraz od tego, czy dane zostały pozyskane bezpośrednio od osoby, której dotyczą, czy z innych źródeł (np. z jakiegoś oficjalnego rejestru).

W ramach wypełniania tego obowiązku, należy poinformować osoby, których dane są przetwarzane m.in. o następujących okolicznościach:

  1. kto przetwarza dane (dane i kontakt do administratora oraz do inspektora ochrony danych osobowych – jeśli inspektor został powołany);
  2. cele przetwarzania danych osobowych;
  3. podstawy prawne przetwarzania;
  4. informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  5. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;
  6. jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, to należy te realizowane interesy wskazać;
  7. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (odbiorcami danych może być np. ZUS, urząd skarbowy, ale też podmiot przetwarzający na zlecenie administratora, np. biuro księgowe, firma ewaluacyjna);
  8. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego (poza Unię Europejską) lub organizacji międzynarodowej oraz warunkach tego przekazania;
  9. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  10. informacje o uprawnieniach w związku z przetwarzaniem danych, m.in. o:
    • dostępie do danych;
    • jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia w dowolnym momencie;
    • informacje o prawie do wniesienia sprzeciwu, oraz żądania ograniczenia przetwarzania danych osobowych;
    • informacje o prawie wniesienia skargi do organu nadzorczego;
    • informacje o prawie do przenoszenia danych.

O obowiązku informacyjnym: „Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny”.

Krok dziesiąty – miej świadomość kar (art. 58, 82, 83 RODO)

RODO wprowadza możliwość nakładania sankcji i  kar administracyjnych i odpowiedzialność cywilną w związku z nieprzestrzeganiem wymogów RODO.

Sankcje i kary administracyjne może nakładać organ nadzoru (Urząd Ochrony Danych Osobowych). Sankcji administracyjne, to m.in.:

  • ostrzeżenie;
  • upomnienie;
  • nakazanie spełnienia żądania osoby, której dane dotyczą, wynikającego z praw;
  • nakazanie dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

Kary administracyjne finansowe sięgają nawet 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Odpowiedzialność cywilna wiąże się z możliwością żądania zapłaty odszkodowania od osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO.

10 kroków. Na zakończenie

Wdrożenie i przestrzeganie RODO, to proces, co też oznacza, że stale trzeba monitorować co z danymi się dzieje wprowadzać zabezpieczenia i w razie potrzeby je modyfikować.

Jak widać niektóre przedstawione powyżej kroki zazębiają się ze sobą – np. zasady przetwarzania danych z prawami osób, których dane dotyczą czy z analizą ryzyka – ale to tylko może pomóc w dobrym dostosowaniu procedur przetwarzania danych w organizacjach pozarządowych.

Jedna z trudności dotyczących RODO polega na tym, że materiały i opracowania dopiero powstają. Różni specjaliści mają różne interpretacje – dopiero jak zaczną zapadać wyroki w sprawie RODO powstanie orzecznictwo, czyli będzie więcej wiadomo jak interpretować przepisy.

Na wiele pytań nie ma więc jeszcze odpowiedzi, co nie znaczy, że organizacje pozarządowe są zwolnione z obowiązku stosowania RODO. RODO trzeba stosować od 25 maja 2018 r. Na początek skupmy się w naszej organizacji na tym co jest najlepiej rozpoznane i opisane – np. na zbieraniu danych pracowników, danych członków stowarzyszenia, odbiorców newslettera. W ten sposób będziemy uczyć się RODO (jego zasad i „filozofii”) i systematycznie zwiększać wiedzę w tym zakresie.

Na portalu ngo.pl będą ukazywały się nowe aktualne materiały – zachęcamy do śledzenia informacji.

Zobacz koniecznie: zebrane informacje dotyczące RODO

Warto też zaglądać na stronę internetową UODO – Urzędu Ochrony Danych Osobowych – organizacje pozarządowe znajdą tam wiele przydatnych informacji.

Źródło: http://poradnik.ngo.pl/ochrona-danych-osobowych-w-NGO

Marcin Ludwinek

Administrator strony