Poradnik 26.05.2017 7 min. czytania Tekst Image W poprzednim odcinku Poradnika BINGO pokrótce scharakteryzowaliśmy dane osobowe i ich zbiory. W tym odcinku zajmiemy się inwentaryzacją zbiorów w organizacji. Zadanie to służy zorientowaniu się, jakie dane przetwarzacie w organizacji i jakie w związku z tym macie obowiązki. Pozwoli Wam upewnić się, czy nie przetwarzacie danych w nadmiarze lub w inny sposób nie naruszacie praw osób z Waszego szeroko rozumianego otoczenia. [Ten tekst powstał przed wejściem w życie RODO. Jeśli szukasz informacji, jak wdrożyć do organizacji RODO, przejdź do 13. odcinka Poradnika BINGO.] W ustawie nie ma konkretnego przepisu, który mówi, jak macie przeprowadzać inwentaryzację zbiorów danych ani jak często trzeba to robić. Jednakże macie obowiązek chronić dane. A inwentaryzacja pomoże Wam ocenić, jakie konkretnie obowiązki wiążą się z danymi, które przetwarzacie w swojej organizacji (wszystkie obowiązki administratora danych osobowych opisaliśmy dokładnie w poprzedniej części poradnika; należą do nich m.in. posiadanie podstawy prawnej do przetwarzania danych, przetwarzanie ich w określonym celu, chronienie danych, usuwanie ich, gdy upłynie czas ich przetwarzania). Inwentaryzacja służy uzyskaniu odpowiedzi na konkretne pytania. Na początku trzeba zastanowić się nad tym: jakiej kategorii dane przetwarzacie w organizacji – co chronicie (jakie macie zbiory); po co przetwarzacie akurat takie kategorie danych (cel przetwarzania); skąd pochodzą te dane (źródło danych); jakie to dane (zakres danych). Na przykład: jeśli w organizacji przetwarzane są dane darczyńców, inwentaryzacja związanego z tym zbioru może zawierać następujące informacje: nazwa zbioru (np. Zbiór darczyńców); cel przetwarzania danych: utrzymywanie relacji z darczyńcami, tak żeby dalej wspierali organizację i żeby budować wśród nich jej pozytywny wizerunek, analizowanie wpływów z darowizn, tak żeby lepiej projektować działania nakierowane na pozyskiwanie darczyńców, prowadzenie księgowości (księgowanie przychodów); źródło danych: dane z przelewów bankowych, dane podane przez darczyńców w formularzu do płatności online; zakres danych: w przypadku przelewu bankowego: imię, nazwisko, adres zameldowania, rachunek bankowy, kwota, dodatkowe informacje podane w tytule przelewu, np. e-mail; w przypadku nawiązania kontaktu listowego: adres korespondencyjny, w przypadku płatności online: imię, nazwisko, adres e-mail, kwota, w przypadku nawiązania kontaktu mailowego: adres korespondencyjny. Gdy już odpowiecie na te pytania, możecie zadać sobie kolejne, bardziej szczegółowe: Na jakiej podstawie przetwarzane są te dane? Na przykład: jest to niezbędne do realizacji umowy darowizny, za zgodą darczyńcy lub na podstawie usprawiedliwionego interesu administratora. Czy zbiór podlega rejestracji u GIODO? Tak (żadna z przesłanek zwolnienia z rejestracji wymienionych w art. 43 ust. 1 uodo nie jest spełniona). W jakim systemie dane są przetwarzane i czy zostały prawidłowo zabezpieczone przed dostępem osób nieuprawnionych, utratą czy niedopuszczalną modyfikacją? Na przykład: w systemie CRM (dane kontaktowe), w programie MS Excel (analiza wpływów darowizn) lub w dokumentacji papierowej (wydruki wyciągów bankowych). Kto ma dostęp do danych i na jakiej podstawie? Na przykład: Anna Obem (upoważnienie), biuro rachunkowe Księgowość dla Każdego Sp. z o.o. (umowa powierzenia). Jak długo dane mogą być przetwarzane? Na przykład: 5 lat od przekazania darowizny. Obowiązek informacyjny. Na przykład: zamieszczona klauzula informacyjna wraz z formularzem, w którym podajemy dane osobowe. Istnieją organizacje, które przetwarzają dużo więcej informacji o darczyńcach: od numeru telefonu przez miejsce pracy, informacje o członkach rodziny – każdy inny okruch informacji, który są w stanie zebrać. Pytania z drugiego etapu pozwolą im upewnić się, czy aby na pewno mogą to robić – i czy wypełniają wszystkie związane z tym obowiązki. Te pytania pomogą Wam przygotować listę obowiązków do nadrobienia. Jeśli zespół nie ma upoważnień do przetwarzania danych, uzupełnijcie to. Jeśli współpracujecie z zewnętrznymi firmami, które mają dostęp do danych osobowych przetwarzanych przez Waszą organizację jako administratora, przygotujcie umowę powierzenia. Usuńcie zbędne dane, np. te, których okres przetwarzania już minął, te, które zbieracie bez uzasadnienia (na zapas). Dopełnijcie obowiązku informacyjnego: upewnijcie się, że macie wszystkie klauzule informacyjne i że zawierają one wszystkie niezbędne elementy (nazwę i siedzibę administratora, cel przetwarzania danych, podstawę przetwarzania, okres przetwarzania). Uwaga: jeśli przetwarzacie dane w systemie informatycznym, zwróćcie szczególną uwagę na to, czy dostęp do nich jest odpowiednio chroniony (zajrzyjcie do Poradnika BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia). I nie zapominajcie, że dbając o dane osobowe w swojej organizacji, nie tylko chronicie swoją organizację przed problemami prawnymi, ale też budujecie jej pozytywny wizerunek i zaufanie wśród odbiorców. Anna Obem Współpraca: Małgorzata Szumańska Konsultacja merytoryczna: Anna Matusiak-Wekiera Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu. << Poradnik BINGO 7. Dane osobowe w organizacji Poradnik BINGO 9. Praca z mediami >> Anna Obem Autorka Temat dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Wybory nowego Prezesa UODO. Kim są kandydaci? 9 stycznia zbierze się sejmowa Komisja Sprawiedliwości i Praw Człowieka, która zaopiniuje kandydatury na stanowisko Prezesa Urzędu Ochrony Danych Osobowych. Poznajmy bliżej osoby, które chcą stanąć na straży naszej prywatności. 03.01.2024 Tekst Artykuł GOV.PL bez Google Analytics. Co z pozostałymi stronami instytucji publicznych? Ministerstwo Cyfryzacji po wewnętrznej analizie doszło do wniosku, że na portalach rządowych nie powinno osadzać się skryptów Google Analytics. Wciąż nie mamy jasnej deklaracji o sformułowaniu zaleceń używania narzędzi na innych stronach administracji publicznej. 21.08.2024 Tekst Podcast Koniec „Tarczy prywatności”. I co dalej? Rozmowa z Marcinem Marutą 16 lipca Trybunał Sprawiedliwości Unii Europejskiej w głośnej sprawie Schrems II stwierdził, że Stany Zjednoczone nie gwarantują ochrony danych osobowych na takim poziomie, jakiego wymaga UE. A konkretnie nie gwarantuje jej „Tarcza prywatności” – umowa między Unią a Stanami, która od 2016 r.… 08.10.2020 Dźwięk