Artykuł 04.03.2020 5 min. czytania Tekst Image W piątek zakończyły się konsultacje w sprawie projektu kodeksu dobrych praktyk przetwarzania danych osobowych w organizacjach społecznych. Kodeks nie jest zbyt przydatny: dla nieprawników będzie niezrozumiały, a prawnicy dostrzegą w nim merytoryczne błędy. Pomysł przygotowania jednego kodeksu dla wszystkich organizacji społecznych był jednak z góry skazany na porażkę: różnorodność 100 tys. organizacji nie pozwala na ujęcie wszystkich ich problemów w jednym dokumencie.Kodeksy postępowania to specyficzne przepisy wykonawcze do RODO dla poszczególnych branż, tworzone przez organizacje zrzeszające firmy danego sektora (np. w przypadku banków – przez Związek Banków Polskich, a w przypadku fotografów – przez Krajowy Cech Fotografów). Ich treść będzie miała bezpośredni wpływ na to, w jaki sposób przepisy RODO będą stosowane i interpretowane przez daną branżę. W kodeksie powinniśmy znaleźć m.in. modelową klauzulę zgody na przetwarzanie danych, wytyczne na temat tego, w jaki sposób realizować prawo do informacji (i w jakich uzasadnionych wypadkach – według danej branży – nie trzeba go realizować) czy prawo do przeniesienia danych.Każdy kodeks, aby mógł pełnić funkcję przepisów wykonawczych, musi być zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych, a wcześniej przejść obowiązkowe konsultacje społeczne. I na tym właśnie etapie znajduje się kodeks dla organizacji społecznych, który powstał z inicjatywy Konfederacji Inicjatyw Pozarządowych Rzeczypospolitej, a napisali go przedstawiciele kancelarii Parchimowicz i Kwaśniewski.Od wejścia w życie RODO przedstawialiśmy opinie do wielu kodeksów (np. branży bankowej czy reklamy internetowej). Jednak projekt kodeksu dobrych praktyk dla organizacji pozarządowych jest szczególny, bo dotyczy także nas. Dlatego nie mogliśmy odpuścić i zagłębiliśmy się w ponad 100-stronicowy dokument. Wam nie polecamy tego robić – z co najmniej dwóch powodów.1. Zaczynasz poruszać się po RODO? W tym kodeksie się zagubisz.Struktura kodeksu jest nieprzejrzysta: jedne wątki są w nim szeroko omówione, np. możliwość przetwarzania danych na podstawie tzw. uzasadnionego interesu; inne – niemal pominięte. Przy czym te drugie wątki są kluczowe dla działania niektórych organizacji, bo dotyczą choćby przetwarzania danych na podstawie umowy lub zasad ochrony danych wrażliwych.Przez ciężki prawniczy język, jakim napisano kodeks, będzie on nieprzydatny dla tych organizacji, które nie korzystają z profesjonalnej obsługi prawnej lub nie zatrudniają prawników (najlepiej specjalizujących się w ochronie danych).2. Znasz się trochę na RODO? W tym kodeksie znajdziesz błędy.Po zagłębieniu się w kodeks można tam znaleźć twierdzenia, które naszym zdaniem są niezgodne z RODO. Autorzy projektu twierdzą np. że powołanie Inspektora Ochrony Danych Osobowych jest obowiązkowe. Natomiast zamiast podejścia opartego na analizie ryzyka, czyli stosowaniu metod ochrony adekwatnych do przetwarzanych danych, proponują skupienie się na papierologii i „szafach zgodnych z RODO” (projekt przewiduje konieczność przechowywania akt w zamykanych na klucz szafach).Czy da się napisać kodeks dla organizacji?Nawet zakładając, że błędy merytoryczne można poprawić, a pominięte fragmenty uzupełnić, napisanie kodeksu dla wszystkich organizacji społecznych jest zadaniem niewykonalnym.Organizacje społeczne są zbyt zróżnicowane, by stworzyć dla nich jeden, spójny, przejrzysty i przydatny kodeks dobrych praktyk.Niektóre organizacje zajmują się prowadzeniem hospicjów i domów pomocy (przetwarzają więc dane o zdrowiu), inne pomagają przedstawicielom rozmaitych mniejszości (dane o pochodzeniu rasowym czy orientacji seksualnej). Część organizacji przetwarza dane wyłącznie swoich członków, a część – np. Wielka Orkiestra Świątecznej Pomocy czy Stowarzyszenie Wiosna, organizator Szlachetnej Paczki – wielkie zbiory danych setek wolontariuszy. RODO przewiduje możliwość tworzenia kodeksów „z uwzględnieniem specyfiki różnych sektorów”. Ale jeśli chodzi o dane osobowe, organizacje społeczne jednym sektorem nie są. Czasami występują jako ośrodki badawcze, czasami jako małe placówki medyczne, a kiedy indziej jako jednostki oświatowe lub kluby sportowe. Każda rola wiąże się z innymi wyzwaniami. Dlatego np. organizacje zajmujące się oświatą mierzą się z problemami bliższymi specyfice publicznych placówek oświatowych niż tematom, przed którymi stoi choćby Panoptykon.A zatem co, jeśli nie kodeks?Brak możliwości napisania kodeksu dla organizacji społecznych nie oznacza, że organizacje są zdane na siebie i nikt nie pomoże im we wdrożeniu RODO. Przeciwnie: powstało już sporo poradników, z których mogą one skorzystać. Najbardziej polecamy nasze materiały:Poradnik BINGO 13. RODO w organizacjiNowa filozofia w ochronie danych osobowych, czyli jak wdrożyć RODO w organizacji społecznejMożna też skorzystać z poradnika Gotowi na RODO przygotowanego przez Narodowy Instytut Wolności we współpracy z Urzędem Ochrony Danych Osobowych. Wiele przydatnych dla organizacji materiałów opublikowanych jest też na stronie ngo.pl.Trudność wdrożenia RODO, z jaką wszyscy mierzymy się od niemal dwóch lat, wynika z tego, że rozporządzenie nie pozwala iść na skróty. Zamiast jednorazowego „odhaczenia formalności” wymaga ono cyklicznej analizy tego, czy dane, które nam powierzono, są bezpieczne. Organizacje powinny na to znajdować czas, bo na bardzo fundamentalnym poziomie jest to po prostu wyraz szacunku dla osób, z którymi stykamy się w naszej działalności, i sposób na budowanie wiarygodności całego sektora. W tym wypadku kodeks jest jedynie próbą pójścia na skróty. I to niezbyt udaną.Wojciech KlickiOpinia Fundacji Panoptykon w sprawie projektu kodeksu dla organizacji społecznychWesprzyj nas w walce o wolność i prywatność! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż 1,5% podatku (KRS: 0000327613). Wojciech Klicki Autor Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Miękkie prawo czy wytrych do samowoli służb? Facebook, Twitter i inne portale będą musiały w ciągu godziny rozpatrzyć zgłoszenie służb dotyczące treści terrorystycznych. Czy będą miały realne szanse na rzetelną ocenę sytuacji? A może nowe rekomendacje Komisji Europejskiej zmierzają do konieczności usuwania z automatu każdej treści zgłoszonej… 07.03.2018 Tekst Artykuł Pomoc społeczna na łasce algorytmów [wywiad] Dlaczego państwa tak chętnie próbują oddać system pomocy społecznej w ręce algorytmów? Zagadnienie tłumaczy kanadyjski socjolog i badacz wykorzystania algorytmów przez administrację publiczną dr Mike Zajko. 04.04.2024 Tekst Artykuł Dane pasażerów na jutrzejszym posiedzeniu rządu Jutro rząd zajmie się projektem ustawy o danych PNR. 04.04.2018 Tekst