Poradnik BINGO 8. Inwentaryzujemy zbiory danych osobowych

Poradnik
26.05.2017
7 min. czytania
Tekst
Element dekoracyjny

W poprzednim odcinku Poradnika BINGO pokrótce scharakteryzowaliśmy dane osobowe i ich zbiory. W tym odcinku zajmiemy się inwentaryzacją zbiorów w organizacji. Zadanie to służy zorientowaniu się, jakie dane przetwarzacie w organizacji i jakie w związku z tym macie obowiązki. Pozwoli Wam upewnić się, czy nie przetwarzacie danych w nadmiarze lub w inny sposób nie naruszacie praw osób z Waszego szeroko rozumianego otoczenia.

[Ten tekst powstał przed wejściem w życie RODO. Jeśli szukasz informacji, jak wdrożyć do organizacji RODO, przejdź do 13. odcinka Poradnika BINGO.]

W ustawie nie ma konkretnego przepisu, który mówi, jak macie przeprowadzać inwentaryzację zbiorów danych ani jak często trzeba to robić. Jednakże macie obowiązek chronić dane. A inwentaryzacja pomoże Wam ocenić, jakie konkretnie obowiązki wiążą się z danymi, które przetwarzacie w swojej organizacji (wszystkie obowiązki administratora danych osobowych opisaliśmy dokładnie w poprzedniej części poradnika; należą do nich m.in. posiadanie podstawy prawnej do przetwarzania danych, przetwarzanie ich w określonym celu, chronienie danych, usuwanie ich, gdy upłynie czas ich przetwarzania).

Inwentaryzacja służy uzyskaniu odpowiedzi na konkretne pytania. Na początku trzeba zastanowić się nad tym:

  1. jakiej kategorii dane przetwarzacie w organizacji – co chronicie (jakie macie zbiory);
  2. po co przetwarzacie akurat takie kategorie danych (cel przetwarzania);
  3. skąd pochodzą te dane (źródło danych);
  4. jakie to dane (zakres danych).

Na przykład: jeśli w organizacji przetwarzane są dane darczyńców, inwentaryzacja związanego z tym zbioru może zawierać następujące informacje:

  1. nazwa zbioru (np. Zbiór darczyńców);
  2. cel przetwarzania danych:
    • utrzymywanie relacji z darczyńcami, tak żeby dalej wspierali organizację i żeby budować wśród nich jej pozytywny wizerunek,
    • analizowanie wpływów z darowizn, tak żeby lepiej projektować działania nakierowane na pozyskiwanie darczyńców,
    • prowadzenie księgowości (księgowanie przychodów);
  3. źródło danych:
    • dane z przelewów bankowych,
    • dane podane przez darczyńców w formularzu do płatności online;
  4. zakres danych:
    • w przypadku przelewu bankowego: imię, nazwisko, adres zameldowania, rachunek bankowy, kwota, dodatkowe informacje podane w tytule przelewu, np. e-mail; w przypadku nawiązania kontaktu listowego: adres korespondencyjny,
    • w przypadku płatności online: imię, nazwisko, adres e-mail, kwota, w przypadku nawiązania kontaktu mailowego: adres korespondencyjny.

Gdy już odpowiecie na te pytania, możecie zadać sobie kolejne, bardziej szczegółowe:

  1. Na jakiej podstawie przetwarzane są te dane? Na przykład: jest to niezbędne do realizacji umowy darowizny, za zgodą darczyńcy lub na podstawie usprawiedliwionego interesu administratora.
  2. Czy zbiór podlega rejestracji u GIODO? Tak (żadna z przesłanek zwolnienia z rejestracji wymienionych w art. 43 ust. 1 uodo nie jest spełniona).
  3. W jakim systemie dane są przetwarzane i czy zostały prawidłowo zabezpieczone przed dostępem osób nieuprawnionych, utratą czy niedopuszczalną modyfikacją? Na przykład: w systemie CRM (dane kontaktowe), w programie MS Excel (analiza wpływów darowizn) lub w dokumentacji papierowej (wydruki wyciągów bankowych).
  4. Kto ma dostęp do danych i na jakiej podstawie? Na przykład: Anna Obem (upoważnienie), biuro rachunkowe Księgowość dla Każdego Sp. z o.o. (umowa powierzenia).
  5. Jak długo dane mogą być przetwarzane? Na przykład: 5 lat od przekazania darowizny.
  6. Obowiązek informacyjny. Na przykład: zamieszczona klauzula informacyjna wraz z formularzem, w którym podajemy dane osobowe.

Istnieją organizacje, które przetwarzają dużo więcej informacji o darczyńcach: od numeru telefonu przez miejsce pracy, informacje o członkach rodziny – każdy inny okruch informacji, który są w stanie zebrać. Pytania z drugiego etapu pozwolą im upewnić się, czy aby na pewno mogą to robić – i czy wypełniają wszystkie związane z tym obowiązki.

Te pytania pomogą Wam przygotować listę obowiązków do nadrobienia. Jeśli zespół nie ma upoważnień do przetwarzania danych, uzupełnijcie to. Jeśli współpracujecie z zewnętrznymi firmami, które mają dostęp do danych osobowych przetwarzanych przez Waszą organizację jako administratora, przygotujcie umowę powierzenia. Usuńcie zbędne dane, np. te, których okres przetwarzania już minął, te, które zbieracie bez uzasadnienia (na zapas). Dopełnijcie obowiązku informacyjnego: upewnijcie się, że macie wszystkie klauzule informacyjne i że zawierają one wszystkie niezbędne elementy (nazwę i siedzibę administratora, cel przetwarzania danych, podstawę przetwarzania, okres przetwarzania).

Uwaga: jeśli przetwarzacie dane w systemie informatycznym, zwróćcie szczególną uwagę na to, czy dostęp do nich jest odpowiednio chroniony (zajrzyjcie do Poradnika BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia).

I nie zapominajcie, że dbając o dane osobowe w swojej organizacji, nie tylko chronicie swoją organizację przed problemami prawnymi, ale też budujecie jej pozytywny wizerunek i zaufanie wśród odbiorców.

Anna Obem

Współpraca: Małgorzata Szumańska

Konsultacja merytoryczna: Anna Matusiak-Wekiera

Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu.

<< Poradnik BINGO 7. Dane osobowe w organizacji Poradnik BINGO 9. Praca z mediami >>
Temat

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.