Poradnik BINGO 13. RODO w organizacji

Ochrona danych nie należała do tej pory do najbardziej zadbanych obszarów w organizacjach społecznych. Zamieszanie wokół RODO sporo zmieniło, jeśli chodzi o świadomość, ale już nie tak wiele, jeśli chodzi o praktyki: wszyscy wiedzą, że jest RODO, ale nie oznacza to bynajmniej, że go przestrzegają. Tymczasem wdrożenie nowych przepisów wcale nie musi być (kosztowną) drogą przez mękę, a korzyści dla organizacji są całkiem wymierne – od pewności, że działacie zgodnie z prawem, przez budowanie relacji zaufania z osobami w Waszym otoczeniu, po wzmocnienie bezpieczeństwa organizacji nie tylko pod kątem ochrony danych osobowych, ale też innych wrażliwych informacji.

[Ten tekst jest uzupełnieniem Poradnika BINGO, w którym w odcinkach 7 i 8 zamieściliśmy wskazówki o ochronie danych w organizacjach – o tym, tak jak powinna ona wyglądać, zanim weszło w życie RODO].

Nie taki diabeł straszny…

Mimo nienajlepszej prasy wdrożenie RODO nie różni się specjalnie od innych procesów wewnętrznych w organizacji, np. przygotowywania strategii:

• ma swój początek i koniec;
• wymaga odrobiny specjalistycznej wiedzy (którą mogą dostarczyć zewnętrzni specjaliści lub ogólnodostępne poradniki);
• (przede wszystkim jednak) wymaga doskonałej znajomości organizacji od środka i aktywnego zaangażowania zespołu;
• po zakończeniu przygotowań wymaga od organizacji przystąpienia do fazy realizacji zaplanowanych działań: wdrożenie RODO to nie tylko burza mózgów, ale też przełożenie ustaleń na codzienną praktykę;
• wymaga monitorowania i okresowej weryfikacji.

Dane osobowe to wszystkie informacje o możliwej do zidentyfikowania osobie. Jeśli organizacja posiada imię i nazwisko darczyńcy, daną osobową jest też informacja o tym, jak często przekazuje on darowizny, w jakiej wysokości i czy np. otrzymuje newsletter wysyłany przez organizację. Z kolei przetwarzanie danych osobowych to każda czynność na danych osobowych: gromadzenie, zwykłe przechowywanie, analizowanie, a także usuwanie. Wdrażanie RODO należy zacząć od analizy tego, jakie dane macie w organizacji i w jaki sposób je przetwarzacie, czyli od zmapowania procesów przetwarzania danych w organizacji.

Kolejność ma ogromne znaczenie. Organizacje często wpadają w pułapkę przygotowywania klauzul informacyjnych przed wykonaniem pierwszego kroku, polegającego na analizie tego, co i po co wiedzą o różnych osobach w swoim otoczeniu. Dopiero po określeniu, jakie konkretnie dane (imię, nazwisko, adres?), w jakim celu i na jakiej podstawie przetwarzacie, będziecie w stanie przygotować prawidłową (i zgodną z rzeczywistością) klauzulę informacyjną. I zajmie Wam to dużo mniej czasu!

Wdrażanie RODO krok po kroku

Krok 1. Mapowanie procesów przetwarzania danych

Pierwszy krok do wdrożenia RODO, czyli mapowanie procesów przetwarzania danych osobowych w organizacji, to udzielenie odpowiedzi na następujące pytania:

• Jakie dane przetwarzacie (czyje to dane i jaki jest zakres danych)?
• Po co przetwarzacie akurat takie kategorie danych (cel przetwarzania)?
• Jak długo je przetwarzacie?
• W jaki sposób to robicie (np. z wykorzystaniem systemu CRM, maila, wspólnego dysku typu G Suite czy Dropbox)?
• Kto ma do nich dostęp (np. zespół, biuro rachunkowe, firma informatyczna)?

Organizacje przetwarzają dane w ramach procesów o charakterze uniwersalnym, np. kadrowo-płacowych (organizacja przetwarza dane pracowników, w tym imię, nazwisko, adres zamieszkania i korespondencyjny), księgowych, a także w ramach procesów charakterystycznych dla sektora, takich jak pozyskiwanie darczyńców, kontakt ze wspierającymi czy organizacja wolontariatu. To tylko przykłady – każda organizacja ma swobodę usystematyzowania swoich procesów w taki sposób, jaki dla niej będzie najbardziej funkcjonalny.

Informacje zebrane w tym kroku posłużą Wam do sprawdzenia, czy postępujecie zgodnie z prawem (krok 2), oraz do przeprowadzenia analizy ryzyka (krok 4), w której możecie np. dojść do wniosku, że usługa chmurowa, w której przechowujecie dane, nie jest bezpieczna. Wtedy w kroku 5 możecie postanowić, że przeniesiecie je do innej, lepiej zabezpieczonej usługi.

Zwróćcie uwagę na określenie celu przetwarzania danych: wykonując obowiązek informacyjny, o którym będzie mowa dalej, podajecie cel przetwarzania danych. Rozszerzenie celu przetwarzania, czyli wykorzystanie danych do innego celu niż ten, o którym osoba została poinformowana, wymaga osobnej podstawy prawnej i ponownego wykonania obowiązku informacyjnego (jeśli podstawą będzie zgoda, to musicie jeszcze raz o nią zapytać).

Krok 2. Kontrola legalności przetwarzania

A mówiąc prościej: określenie, czy to, jak przetwarzacie dane (to, co opisaliście w kroku 1), jest zgodne z prawem. Między innymi chodzi o to:

• Czy potraficie wskazać podstawę prawną przetwarzania danych?
• Czy możecie osiągnąć ten sam cel, zbierając mniej danych?
• Czy nie przechowujecie danych zbyt długo / czy usuwacie je, gdy przestają być potrzebne?
• Czy odpowiednio informujecie osoby, których dane przetwarzacie, o tym, jak i w jakim celu to robicie?

Zwróćcie szczególną uwagę na określenie podstawy prawnej przetwarzania. RODO przewiduje – w zależności od sytuacji – sześć różnych podstaw prawych. Powszechnie wykorzystywana zgoda jest tylko jedną z nich i bywa nadużywana lub wykorzystywana nieprawidłowo (jest wymuszana lub dorozumiana). Bywa też kłopotliwa: jeśli przetwarzacie dane uczestników warsztatów na podstawie zgody, a jeden z nich będzie chciał ją wycofać (RODO pozwala to zrobić w każdym czasie), będziecie mieć problem ze spełnieniem wymogów grantodawcy, który sfinansował warsztaty i wymaga trzymania danych przez dłuższy czas. Rzetelna analiza tego, na jakiej podstawie przetwarzacie dane osobowe, jest kluczowa do prawidłowego wykonania obowiązku informacyjnego (czyt. przygotowania odpowiedniej klauzuli informacyjnej). Pozwoli też upewnić się, że nie przetwarzacie danych na zapas lub bez podstawy prawnej, co jest naruszeniem prawa.

Krok 3. Weryfikacja procedur

W tym kroku skoncentrujcie się na poprawieniu procedur, które już funkcjonują w organizacji, lub stworzeniu ich od nowa. Zwróćcie uwagę na prawa osób, których dane przetwarzacie. Należy sprawdzić miedzy innymi:

• Czy przygotowujecie klauzule informacyjne dostosowane do różnych sytuacji i umieszczacie je w odpowiednich miejscach (polityce prywatności na stronie, formularzu zapisu na warsztaty lub zamówienia newslettera, w szablonie umowy etc.)?
• Czy posiadacie procedury na wypadek otrzymania wniosku od osoby, której dane przetwarzacie? Jak postąpicie w przypadku, gdy otrzymacie wniosek o kopię danych?

Krok 4. Analiza ryzyka

W tym kroku zastanówcie się, jakie ryzyko wiąże się z przetwarzaniem danych, czyli co może pójść nie tak. Przydadzą Wam się do tego podpowiedzi z odcinków 1–4 Poradnika BINGO, dotyczących bezpieczeństwa informacji. Zastanówcie się nad tym, jakie są potencjalne zagrożenia, co jest ich źródłem i jakie będą potencjalne konsekwencje. Co może pójść nie tak? Zwróćcie uwagę na to, jak przechowujecie dane, kto ma do nich dostęp i jak są zabezpieczone. Często przywoływane zagrożenia to choćby wyciek danych, naruszenie prywatności czy udostępnienie danych osobom niepowołanym. Warto zastanowić się, na jakie ryzyko narażona jest w takiej sytuacji osoba, której dane wyciekły (w zależności od sytuacji np. atak fizyczny lub nieprzyjemności w pracy).

Krok 5. Zarządzanie ryzykiem

Przed wieloma zdarzeniami, które opisaliście w poprzednim kroku, można się zabezpieczyć. Jeśli obawiacie się wycieku danych, to warto zastanowić się nad tym:

• Kto ma dostęp do danych i co się stanie, gdy użyje ich w nieautoryzowany sposób?
• Gdzie je przechowujecie (np. w chmurze, u jakiego dostawcy)?
• Jak są zabezpieczone?

Teraz powinniście zastanowić się, jak zapobiec ryzyku związanemu z przetwarzaniem danych i przygotować scenariusze działania, jeśli ryzyko mimo wszystko się zmaterializuje.

• Jeśli trzymacie dane w chmurze, a dostawca usługi chmurowej ma nienajlepszą renomę pod kątem bezpieczeństwa, rozważcie zmianę dostawcy,
• Jeśli dostęp do danych mają osoby, które nie pracują już w organizacji, bezzwłocznie odbierzcie im ten dostęp (np. zmieńcie hasła). Wprowadźcie procedurę zmiany haseł na wypadek odchodzenia osób z organizacji.

Wiele zagrożeń, które nam przychodzą do głowy, ma źródło w lukach w bezpieczeństwie cyfrowym i fizycznym informacji w organizacjach. Jeśli chcecie wzmocnić się w tej sferze, wróćcie do wskazówek podanych w odcinkach 1–4 Poradnika BINGO.

Krok 6. Dokumentacja

Zbliżamy się już do końca wdrożenia. Nadszedł czas na spisanie przemyśleń i procedur, przygotowanie niezbędnych dokumentów (np. rejestru czynności przetwarzania, w którym w dowolnej formie – polecamy tabelkę – zostaną opisane zmapowane w kroku pierwszym procesy przetwarzania), upoważnień, umów powierzenia.

Jeśli jeszcze tego nie zrobiliście, wyznaczcie osoby, które w organizacji czuwają nad prawidłowością, aktualnością i rzetelnością dokumentacji oraz realizowaniem procedur przez osoby upoważnione w zespole do przetwarzania danych.

Krok 7. Monitorowanie

Ten krok zamyka cały proces: po upływie pewnego czasu (np. pół roku, roku) należy zweryfikować, czy Wasze rozwiązania się sprawdzają, ewentualnie – co potrzebuje modyfikacji. RODO wymaga, żeby taka weryfikacja miała miejsce cyklicznie. Wraz z rozwijaniem działań w organizacji mogą pojawić się nowe procesy przetwarzania, zaczniecie wykorzystywać kolejne narzędzia, do zespołu dołączą nowe osoby, które będzie trzeba wdrożyć. To zupełnie tak, jak ze strategią działań!

Anna Obem

Konsultacja merytoryczna: Karolina Iwańska

Tekst jest uzupełnioną i zaktualizowaną wersją Poradnika BINGO 7. i 8., który powstał we współpracy z Anną Matusiak-Wekierą, Małgorzatą Szumańską i Jędrzejem Niklasem.

Szczegółowy opis i wskazówki do wykonania poszczególnych kroków w naszym poradniku pt. Nowa filozofia w ochronie danych osobowych, czyli jak wdrożyć RODO w organizacji społecznej.

Więcej konkretnych podpowiedzi

Dane osobowe podlegają ochronie, co nie oznacza, że nie wolno ich przetwarzać. Wolno, ale podmioty, które je przetwarzają (administratorzy danych osobowych – mogą nimi być zarówno organizacje, jak i firmy czy instytucje publiczne), powinny spełnić określone warunki. Żeby przetwarzać dane, trzeba mieć ku temu odpowiednią podstawę prawną (takie podstawy wskazuje art. 6 RODO). Najczęściej wykorzystywane to:

• uprawnienie lub obowiązek wynikający z przepisu prawa (np. stowarzyszenie ma prawo przetwarzać dane osobowe swoich członków);
• fakt, że dane są niezbędne do wykonania umowy (np. umowy darowizny, umowy sponsoringu, umowy o pracę);
• prawnie usprawiedliwiony interes administratora danych osobowych (np. przesłanie darczyńcom i osobom, które przekazały organizacji pożytku publicznego 1% podatku, informacji o własnych działaniach organizacji, czyli tzw. marketing własnych produktów i usług);
• zgoda osoby, której dane dotyczą (musi być dobrowolna: świadoma i jednoznaczna, wyodrębniona z oświadczeń woli innej treści – np. nie powinno się łączyć klauzul zgody na różne cele wykorzystania danych – muszą to być osobne i domyślnie niezaznaczone pola).

Żadna z podstaw prawnych nie ma pierwszeństwa – wszystkie są równorzędne i każda z nich będzie właściwa w innej sytuacji – powinniście ją dobierać do konkretnego celu przetwarzania danych i zakresu przetwarzanych danych.

Szczególne kategorie danych osobowych (zwane też danymi wrażliwymi), np. informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, wyznaniu, stanie zdrowia, nałogach, życiu seksualnym czy przekonaniach światopoglądowych, można przetwarzać tylko w ściśle określonych przypadkach (por. art. 9 RODO).

Ocena ryzyka

RODO wymaga od administratorów danych przeprowadzania oceny ryzyka. Metodologii przeprowadzenia oceny ryzyka jest mniej więcej tyle, ile podmiotów szkolących w tej dziedzinie. Korzystając z wytycznych europejskich organów ochrony danych osobowych, Panoptykon proponuje wdrożenie w 7 krokach: od mapowania procesów przetwarzania i przepływów danych przez kontrolę legalności przetwarzania, analizę, co może pójść nie tak, po monitorowanie przestrzegania przepisów. Szczegółowy opis poszczególnych kroków zamieściliśmy w poradniku pt. Nowa filozofia w ochronie danych osobowych, czyli jak wdrożyć RODO w organizacji społecznej.

Co powinna zawierać klauzula informacyjna?

Tekst klauzuli informacyjnej o przetwarzaniu danych osobowych będzie się różnił w zależności od sytuacji: inna klauzula powinna towarzyszyć podaniu danych do umowy, a inna – zapisowi na warsztaty. Niezależnie od sytuacji powinny znaleźć się następujące elementy (posłużymy się przykładami klauzul stosowanych przez Panoptykon):

• tożsamość i dane kontaktowe administratora;

Administratorem danych osobowych, których zasady przetwarzania opisujemy w tym dokumencie, jest Fundacja Panoptykon (dalej: Panoptykon, Fundacja, my) z siedzibą w Warszawie, 02-068, przy ul. Orzechowskiej 4/4. Aby się z nami skontaktować, należy wysłać wiadomość na adres e-mailowy: fundacja@panoptykon.org lub pocztą tradycyjną na adres siedziby.

• cele przetwarzania i podstawa prawna;

Przetwarzamy adresy e-mail subskrybentek i subskrybentów newslettera PanOptyka w celu wysyłania zamówionych informacji – jest to niezbędne do wykonania umowy (zobacz: Regulamin list mailingowych). Podanie danych jest dobrowolne, ale konieczne do zamówienia mailingu.

• informacja o tym, na czym polega uzasadniony interes, jeśli dane są przetwarzane na jego podstawie;

Dane osób, które przekazały nam 1% swojego podatku, a w formularzu PIT zaznaczyły zgodę na przekazanie nam swoich danych, przetwarzamy na podstawie naszego prawnie uzasadnionego interesu w celu podziękowania za wsparcie.

• odbiorcy danych;

Dane osobowe powierzamy do przetwarzania podmiotom, z którymi na stałe współpracujemy, a które odpowiadają za obsługę informatyczną Fundacji oraz obsługę księgową Fundacji (dotyczy to danych osób wspierających nas darowiznami).

Podmioty te działają na podstawie umów powierzenia i na równi z nami są zobowiązane do ochrony danych osobowych.

Ponadto w przypadku korzystania z komunikacji pocztą tradycyjną dane osobowe powierzamy do przetwarzania pośrednikom pocztowym (Poczcie Polskiej oraz innym firmom działającym na podstawie prawa pocztowego) na podstawie umów powierzenia i regulaminów usług.

W niektórych sytuacjach przekazujemy dane innym odbiorcom (np. współpracującym z nami przy organizacji szkolenia lub innego wydarzenia). W takich przypadkach zawsze o tym uprzednio informujemy, np. przy rejestracji.

• okres przechowywania (ewentualnie kryteria jego ustalenia);

Dane osób wspierających nas darowiznami przetwarzamy przez 5 lat od końca roku kalendarzowego, w którym w systemie CRM odnotowaliśmy ostatnią interakcję z daną osobą (np. otrzymaliśmy darowiznę, odnotowaliśmy rezygnację z newslettera lub udział w organizowanym przez nas wydarzeniu wymagającym rejestracji).

• informacje o prawach przysługujących osobie, której dane są przetwarzane: prawo do żądania dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu (jeśli dane przetwarzane są na podstawie uzasadnionego interesu), prawo do przenoszenia (jeśli dane przetwarzane są w sposób zautomatyzowany – a więc nie wyłącznie w papierze – oraz na podstawie zgody lub jako niezbędne do realizacji umowy);
• prawo do cofnięcia zgody (jeśli dane przetwarzane są na podstawie zgody);
• informacja o prawie wniesienia skargi do Prezesa UODO;
• informacja, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, czy jest to obowiązkowe i jakie są konsekwencje niepodania;
• informacja o zautomatyzowanym podejmowaniu decyzji, w tym o zasadach ich podejmowania i konsekwencjach dla osoby, której dane dotyczą.

W niektórych sytuacjach zamieszczenie pełnej klauzuli informacyjnej jest niemożliwe lub mija się z celem. Wtedy dopuszczalne jest przekazanie skróconej informacji, która zawiera informacje o tożsamości administratora, celu i podstawie prawnej przetwarzania, i odesłanie do pełnego tekstu klauzuli (zawartej np. polityce prywatności).

Prawa osób, których dane są przetwarzane

Każdej osobie, której dane są przetwarzane, przysługuje:

• prawo do informacji m.in. o tym, skąd dany podmiot pozyskał dane, na jakiej podstawie, w jakim celu i jak długo je przetwarza (obowiązki informacyjne administratora danych opisują art. 13 i 15 RODO);
• prawo do uzyskania kopii danych;
• prawo do wycofania zgody na przetwarzanie danych;
• prawo do uzupełnienia, uaktualnienia i sprostowania danych;
• prawo do zgłoszenia sprzeciwu (o ile dane przetwarzane są na podstawie usprawiedliwionego interesu administratora), np. jeśli organizacja na tej podstawie przetwarza dane osoby, która przekazała jej 1% podatku, żeby przesłać jej informację o swoich działaniach, osoba ta może zgłosić sprzeciw i żądać zaprzestania przetwarzania danych;
• prawo do usunięcia danych (prawo do bycia zapomnianym) – to prawo nie jest absolutne: danych nie trzeba usuwać, kiedy ich przetwarzanie jest np. wymagane przez prawo (tak jest choćby w przypadku obowiązku przechowywania informacji o darowiznach na potrzeby prowadzenia księgowości); inne wyjątki opisuje art. 17 RODO;
• prawo do ograniczenia przetwarzania (w sytuacjach opisanych w art. 18 RODO);
• prawo do przenoszenia danych, o ile przetwarzanie odbywa się w sposób zautomatyzowany (czyli nie w papierze), a podstawą prawną jest zgoda lub niezbędność do realizacji umowy, np. darowizny.

<< Poradnik BINGO 12. Wdrażanie zmiany