RODO na skróty – projekt kodeksu dla organizacji

W piątek zakończyły się konsultacje w sprawie projektu kodeksu dobrych praktyk przetwarzania danych osobowych w organizacjach społecznych. Kodeks nie jest zbyt przydatny: dla nieprawników będzie niezrozumiały, a prawnicy dostrzegą w nim merytoryczne błędy. Pomysł przygotowania jednego kodeksu dla wszystkich organizacji społecznych był jednak z góry skazany na porażkę: różnorodność 100 tys. organizacji nie pozwala na ujęcie wszystkich ich problemów w jednym dokumencie.

Kodeksy postępowania to specyficzne przepisy wykonawcze do RODO dla poszczególnych branż, tworzone przez organizacje zrzeszające firmy danego sektora (np. w przypadku banków – przez Związek Banków Polskich, a w przypadku fotografów – przez Krajowy Cech Fotografów). Ich treść będzie miała bezpośredni wpływ na to, w jaki sposób przepisy RODO będą stosowane i interpretowane przez daną branżę. W kodeksie powinniśmy znaleźć m.in. modelową klauzulę zgody na przetwarzanie danych, wytyczne na temat tego, w jaki sposób realizować prawo do informacji (i w jakich uzasadnionych wypadkach – według danej branży – nie trzeba go realizować) czy prawo do przeniesienia danych.

Każdy kodeks, aby mógł pełnić funkcję przepisów wykonawczych, musi być zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych, a wcześniej przejść obowiązkowe konsultacje społeczne. I na tym właśnie etapie znajduje się kodeks dla organizacji społecznych, który powstał z inicjatywy Konfederacji Inicjatyw Pozarządowych Rzeczypospolitej, a napisali go przedstawiciele kancelarii Parchimowicz i Kwaśniewski.

Od wejścia w życie RODO przedstawialiśmy opinie do wielu kodeksów (np. branży bankowej czy reklamy internetowej). Jednak projekt kodeksu dobrych praktyk dla organizacji pozarządowych jest szczególny, bo dotyczy także nas. Dlatego nie mogliśmy odpuścić i zagłębiliśmy się w ponad 100-stronicowy dokument. Wam nie polecamy tego robić – z co najmniej dwóch powodów.

1. Zaczynasz poruszać się po RODO? W tym kodeksie się zagubisz.

Struktura kodeksu jest nieprzejrzysta: jedne wątki są w nim szeroko omówione, np. możliwość przetwarzania danych na podstawie tzw. uzasadnionego interesu; inne – niemal pominięte. Przy czym te drugie wątki są kluczowe dla działania niektórych organizacji, bo dotyczą choćby przetwarzania danych na podstawie umowy lub zasad ochrony danych wrażliwych.

Przez ciężki prawniczy język, jakim napisano kodeks, będzie on nieprzydatny dla tych organizacji, które nie korzystają z profesjonalnej obsługi prawnej lub nie zatrudniają prawników (najlepiej specjalizujących się w ochronie danych).

2. Znasz się trochę na RODO? W tym kodeksie znajdziesz błędy.

Po zagłębieniu się w kodeks można tam znaleźć twierdzenia, które naszym zdaniem są niezgodne z RODO. Autorzy projektu twierdzą np. że powołanie Inspektora Ochrony Danych Osobowych jest obowiązkowe. Natomiast zamiast podejścia opartego na analizie ryzyka, czyli stosowaniu metod ochrony adekwatnych do przetwarzanych danych, proponują skupienie się na papierologii i „szafach zgodnych z RODO” (projekt przewiduje konieczność przechowywania akt w zamykanych na klucz szafach).

Czy da się napisać kodeks dla organizacji?

Nawet zakładając, że błędy merytoryczne można poprawić, a pominięte fragmenty uzupełnić, napisanie kodeksu dla wszystkich organizacji społecznych jest zadaniem niewykonalnym.

Organizacje społeczne są zbyt zróżnicowane, by stworzyć dla nich jeden, spójny, przejrzysty i przydatny kodeks dobrych praktyk.

Niektóre organizacje zajmują się prowadzeniem hospicjów i domów pomocy (przetwarzają więc dane o zdrowiu), inne pomagają przedstawicielom rozmaitych mniejszości (dane o pochodzeniu rasowym czy orientacji seksualnej). Część organizacji przetwarza dane wyłącznie swoich członków, a część – np. Wielka Orkiestra Świątecznej Pomocy czy Stowarzyszenie Wiosna, organizator Szlachetnej Paczki – wielkie zbiory danych setek wolontariuszy. RODO przewiduje możliwość tworzenia kodeksów „z uwzględnieniem specyfiki różnych sektorów”. Ale jeśli chodzi o dane osobowe, organizacje społeczne jednym sektorem nie są. Czasami występują jako ośrodki badawcze, czasami jako małe placówki medyczne, a kiedy indziej jako jednostki oświatowe lub kluby sportowe. Każda rola wiąże się z innymi wyzwaniami. Dlatego np. organizacje zajmujące się oświatą mierzą się z problemami bliższymi specyfice publicznych placówek oświatowych niż tematom, przed którymi stoi choćby Panoptykon.

A zatem co, jeśli nie kodeks?

Brak możliwości napisania kodeksu dla organizacji społecznych nie oznacza, że organizacje są zdane na siebie i nikt nie pomoże im we wdrożeniu RODO. Przeciwnie: powstało już sporo poradników, z których mogą one skorzystać. Najbardziej polecamy nasze materiały:

• Poradnik BINGO 13. RODO w organizacji
• Nowa filozofia w ochronie danych osobowych, czyli jak wdrożyć RODO w organizacji społecznej

Można też skorzystać z poradnika Gotowi na RODO przygotowanego przez Narodowy Instytut Wolności we współpracy z Urzędem Ochrony Danych Osobowych. Wiele przydatnych dla organizacji materiałów opublikowanych jest też na stronie ngo.pl.

Trudność wdrożenia RODO, z jaką wszyscy mierzymy się od niemal dwóch lat, wynika z tego, że rozporządzenie nie pozwala iść na skróty. Zamiast jednorazowego „odhaczenia formalności” wymaga ono cyklicznej analizy tego, czy dane, które nam powierzono, są bezpieczne. Organizacje powinny na to znajdować czas, bo na bardzo fundamentalnym poziomie jest to po prostu wyraz szacunku dla osób, z którymi stykamy się w naszej działalności, i sposób na budowanie wiarygodności całego sektora. W tym wypadku kodeks jest jedynie próbą pójścia na skróty. I to niezbyt udaną.

Wojciech Klicki

Opinia Fundacji Panoptykon w sprawie projektu kodeksu dla organizacji społecznych

Wesprzyj nas w walce o wolność i prywatność! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż 1% podatku (KRS: 0000327613).