Poradnik 26.05.2017 7 min. czytania Tekst Image W poprzednim odcinku Poradnika BINGO pokrótce scharakteryzowaliśmy dane osobowe i ich zbiory. W tym odcinku zajmiemy się inwentaryzacją zbiorów w organizacji. Zadanie to służy zorientowaniu się, jakie dane przetwarzacie w organizacji i jakie w związku z tym macie obowiązki. Pozwoli Wam upewnić się, czy nie przetwarzacie danych w nadmiarze lub w inny sposób nie naruszacie praw osób z Waszego szeroko rozumianego otoczenia. [Ten tekst powstał przed wejściem w życie RODO. Jeśli szukasz informacji, jak wdrożyć do organizacji RODO, przejdź do 13. odcinka Poradnika BINGO.] W ustawie nie ma konkretnego przepisu, który mówi, jak macie przeprowadzać inwentaryzację zbiorów danych ani jak często trzeba to robić. Jednakże macie obowiązek chronić dane. A inwentaryzacja pomoże Wam ocenić, jakie konkretnie obowiązki wiążą się z danymi, które przetwarzacie w swojej organizacji (wszystkie obowiązki administratora danych osobowych opisaliśmy dokładnie w poprzedniej części poradnika; należą do nich m.in. posiadanie podstawy prawnej do przetwarzania danych, przetwarzanie ich w określonym celu, chronienie danych, usuwanie ich, gdy upłynie czas ich przetwarzania). Inwentaryzacja służy uzyskaniu odpowiedzi na konkretne pytania. Na początku trzeba zastanowić się nad tym: jakiej kategorii dane przetwarzacie w organizacji – co chronicie (jakie macie zbiory); po co przetwarzacie akurat takie kategorie danych (cel przetwarzania); skąd pochodzą te dane (źródło danych); jakie to dane (zakres danych). Na przykład: jeśli w organizacji przetwarzane są dane darczyńców, inwentaryzacja związanego z tym zbioru może zawierać następujące informacje: nazwa zbioru (np. Zbiór darczyńców); cel przetwarzania danych: utrzymywanie relacji z darczyńcami, tak żeby dalej wspierali organizację i żeby budować wśród nich jej pozytywny wizerunek, analizowanie wpływów z darowizn, tak żeby lepiej projektować działania nakierowane na pozyskiwanie darczyńców, prowadzenie księgowości (księgowanie przychodów); źródło danych: dane z przelewów bankowych, dane podane przez darczyńców w formularzu do płatności online; zakres danych: w przypadku przelewu bankowego: imię, nazwisko, adres zameldowania, rachunek bankowy, kwota, dodatkowe informacje podane w tytule przelewu, np. e-mail; w przypadku nawiązania kontaktu listowego: adres korespondencyjny, w przypadku płatności online: imię, nazwisko, adres e-mail, kwota, w przypadku nawiązania kontaktu mailowego: adres korespondencyjny. Gdy już odpowiecie na te pytania, możecie zadać sobie kolejne, bardziej szczegółowe: Na jakiej podstawie przetwarzane są te dane? Na przykład: jest to niezbędne do realizacji umowy darowizny, za zgodą darczyńcy lub na podstawie usprawiedliwionego interesu administratora. Czy zbiór podlega rejestracji u GIODO? Tak (żadna z przesłanek zwolnienia z rejestracji wymienionych w art. 43 ust. 1 uodo nie jest spełniona). W jakim systemie dane są przetwarzane i czy zostały prawidłowo zabezpieczone przed dostępem osób nieuprawnionych, utratą czy niedopuszczalną modyfikacją? Na przykład: w systemie CRM (dane kontaktowe), w programie MS Excel (analiza wpływów darowizn) lub w dokumentacji papierowej (wydruki wyciągów bankowych). Kto ma dostęp do danych i na jakiej podstawie? Na przykład: Anna Obem (upoważnienie), biuro rachunkowe Księgowość dla Każdego Sp. z o.o. (umowa powierzenia). Jak długo dane mogą być przetwarzane? Na przykład: 5 lat od przekazania darowizny. Obowiązek informacyjny. Na przykład: zamieszczona klauzula informacyjna wraz z formularzem, w którym podajemy dane osobowe. Istnieją organizacje, które przetwarzają dużo więcej informacji o darczyńcach: od numeru telefonu przez miejsce pracy, informacje o członkach rodziny – każdy inny okruch informacji, który są w stanie zebrać. Pytania z drugiego etapu pozwolą im upewnić się, czy aby na pewno mogą to robić – i czy wypełniają wszystkie związane z tym obowiązki. Te pytania pomogą Wam przygotować listę obowiązków do nadrobienia. Jeśli zespół nie ma upoważnień do przetwarzania danych, uzupełnijcie to. Jeśli współpracujecie z zewnętrznymi firmami, które mają dostęp do danych osobowych przetwarzanych przez Waszą organizację jako administratora, przygotujcie umowę powierzenia. Usuńcie zbędne dane, np. te, których okres przetwarzania już minął, te, które zbieracie bez uzasadnienia (na zapas). Dopełnijcie obowiązku informacyjnego: upewnijcie się, że macie wszystkie klauzule informacyjne i że zawierają one wszystkie niezbędne elementy (nazwę i siedzibę administratora, cel przetwarzania danych, podstawę przetwarzania, okres przetwarzania). Uwaga: jeśli przetwarzacie dane w systemie informatycznym, zwróćcie szczególną uwagę na to, czy dostęp do nich jest odpowiednio chroniony (zajrzyjcie do Poradnika BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia). I nie zapominajcie, że dbając o dane osobowe w swojej organizacji, nie tylko chronicie swoją organizację przed problemami prawnymi, ale też budujecie jej pozytywny wizerunek i zaufanie wśród odbiorców. Anna Obem Współpraca: Małgorzata Szumańska Konsultacja merytoryczna: Anna Matusiak-Wekiera Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu. << Poradnik BINGO 7. Dane osobowe w organizacji Poradnik BINGO 9. Praca z mediami >> Anna Obem Autorka Temat dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł [zaktualizowane] PESEL potrzebny do wypożyczenia roweru miejskiego? Mieszkańcy miast coraz chętniej przesiadają się na rowery. W samej Warszawie z systemu Veturilo korzysta już ponad pół miliona użytkowników, a przez ostatnich pięć lat rowery wypożyczano aż 11 milionów razy. Rosnąca (również ku naszemu entuzjazmowi) popularność jednośladów powoduje jednak, że ich… 02.09.2019 Tekst Artykuł Antykoncepcja awaryjna bez prywatności Próbując poprawiać dostęp do antykoncepcji awaryjnej, Ministerstwo Zdrowia zamierza zbierać intymne informacje o życiu seksualnym Polek w centralnej bazie. Analizujemy rozporządzenie w sprawie dostępu do pigułki „dzień po”. 24.05.2024 Tekst Artykuł Wybory Prezesa UODO: Komisja Sprawiedliwości i Praw Człowieka bez organizacji broniących praw człowieka Wczoraj sejmowa komisja sprawiedliwości i praw człowieka miała zaopiniować kandydaturę Jana Nowaka na urząd Prezesa Urzędu Ochrony Danych Osobowych (UODO). Wciąż nie wiemy, jak ubiegający się o drugą kadencję prezes zamierza odpowiedzieć na najtrudniejsze wyzwania z zakresu ochrony danych. 24.05.2023 Tekst