Większość organizacji pozarządowych ma dane osobowe – czyli takie dane, które umożliwiają w łatwy sposób zidentyfikowanie tożsamości danej osoby. Wiąże się z tym obowiązek prawny stosowania – w codziennym życiu – różnych procedur dotyczących ich przetwarzania i ochrony. Spisane w dokument stanowią polityką bezpieczeństwa danych osobowych.

Organizacje pozarządowe – niezależnie od swojej wielkości, zakresu działań i zasięgu terytorialnego – realizując zadania statutowe, przetwarzają (co oznacza przetwarzanie danych: poradnik.ngo.pl/x/468733) dane osobowe. Są to np. dane ich członków, darczyńców, wolontariuszy, zewnętrznych odbiorców działań (tzw. beneficjentów). Więcej o tym, czym są dane osobowe poradnik.ngo.pl/x/468727.

Wszystkie te dane wymagają co najmniej posiadania i stosowania polityki bezpieczeństwa danych osobowych – nie ma tu wyjątków. Mowa jest o tym w art. 3 ust. 2 pkt 2 ustawy o ochronie danych osobowych:

Ustawę stosuje się również do: osób fizycznych i osób prawnych (od red.: czyli np. stowarzyszeń, fundacji) oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Niektóre dane osobowe wymagają też rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), np. dane dotyczące wolontariuszy, darczyńców. W dużym skrócie można powiedzieć, że rejestruje się dane osobowe osób z zewnątrz, spoza organizacji, a nie rejestruje danych osób związanych z organizacją, „z wewnątrz”, np. danych członków stowarzyszenia, pracowników i współpracowników organizacji.

Pamiętajmy też, że prowadzenie bazy danych w komputerze, np. w Excelu, wymaga posiadania dodatkowego dokumentu, czyli instrukcji bezpiecznego zarządzania systemem informatycznym.

Czym jest zatem obowiązkowa polityka bezpieczeństwa? To zestaw reguł, praw i praktycznych zasad regulujących sposób przetwarzania danych wewnątrz organizacji (zarządzanie, ochrona, dystrybucja). Przykładowy wzór polityki bezpieczeństwa danych osobowych można znaleźć w serwisie poradnik.ngo.pl: http://poradnik.ngo.pl/x/468747.

Kiedy organizacja musi mieć politykę bezpieczeństwa

Ustawa o ochronie danych osobowych nakłada na wszystkich administratorów danych obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jednym z podstawowych wymogów w tym zakresie jest opracowanie i wdrożenie polityki bezpieczeństwa, o której mowa w przepisach wykonawczych do ustawy. (O innym ważnym obowiązku – zgłoszeniu zbioru danych do GIODO czytaj: http://poradnik.ngo.pl/x/468738).

W praktyce odpowiedzialność za posiadanie i stosowanie polityki ponosi zarząd organizacji, który powinien zadbać o opracowanie polityki bezpieczeństwa i podjąć uchwałę w sprawie jej przyjęcia.

PRZYKŁAD 1

Organizacja zajmuje się edukacją – organizuje zajęcia dla dzieci w wieku szkolnym. W związku z tym prowadzi bazę danych w Excelu, w której zbiera ich dane oraz telefony kontaktowe do rodziców, opiekunów (formalnie są to przedstawiciele ustawowi małoletnich dzieci).

Prawnie oznacza to, że organizacja przetwarza dane osobowe i musi mieć uchwaloną, podpisaną oraz wdrożoną politykę bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych osobowych osób, które muszą mieć pisemne upoważnienie do przetwarzania danych oraz prowadzeniem ewidencji osób upoważnionych do przetwarzania danych osobowych).

W tym przypadku organizacja musi też zgłosić zbiór danych do rejestracji GIODO (gromadzi dane osobowe osób „z zewnątrz”, spoza organizacji). Jeśli w zbiorze tym przetwarzane są tylko dane osobowe (np. imię i nazwisko, data urodzenia, miejsce urodzenia, adres zamieszkania / pobytu, numer telefonu), organizacja będzie mogła przetwarzać dane od momentu dokonania zgłoszenia zbioru danych do rejestracji GIODO. Jeśli natomiast w zbiorze tym organizacja z uzasadnionych powodów zamierzałaby jeszcze przetwarzać np. dane o stanie zdrowia (są to tzw. dane wrażliwe, sensytywne) to wówczas przetwarzanie danych w ramach tego zbioru będzie możliwe dopiero po wydaniu przez GIODO zaświadczenia o zarejestrowaniu zbioru danych. Procedura rejestracji zbioru danych obejmującego dane wrażliwe trwa od 3 miesięcy do roku lub dłużej.

UWAGA: Ponieważ organizacja prowadzi bazę danych w Excelu, musi też mieć dodatkowy dokument, czyli instrukcję bezpiecznego zarządzania systemem informatycznym.

PRZYKŁAD 2

Organizacja zbiera podstawowe dane o swoich wolontariuszach i darczyńcach, aby móc się z nimi kontaktować.

Oba zbiory danych dotyczą osób spoza organizacji, a zatem jest ona zobligowana do:

zapewnienia ochrony danych poprzez posiadanie opracowanej i wdrożonej polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych osobowych tylko osób posiadających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji osób upoważnionych do przetwarzania danych osobowych),

oraz zgłoszenia tych zbiorów (każdego oddzielnie) do rejestracji w GIODO.

W zbiorach tych przetwarzane są tylko „zwykłe” dane osobowe (np. imię, nazwisko, adres zamieszkania, numer telefonu, adres poczty elektronicznej) – zatem organizacja może przetwarzać te dane już od momentu dokonania zgłoszenia zbioru danych do rejestracji w GIODO.

PRZYKŁAD 3

Organizacja zbiera dane o stanie zdrowia swoich podopiecznych w związku z prowadzonym gabinetem rehabilitacyjnym.

Są to dane wrażliwe. Należą do nich dane ujawniające bezpośrednio lub w kontekście: pochodzenie rasowe, pochodzenie etniczne, poglądy polityczne, przekonania religijne, przekonania filozoficzne, przynależność wyznaniową, przynależność partyjną, przynależność związkową, stan zdrowia, kod genetyczny, nałogi, życie seksualne. W praktyce organizacje najczęściej stykają się z danymi dotyczącymi stanu zdrowia, stopnia niepełnosprawności. Jeśli organizacja podejmuje działania na rzecz osób niepełnosprawnych, chorych, np. prowadzi gabinet (realizuje jakiś projekt):

i projekt ten jest skierowany tylko do członków (np. stowarzyszenie zrzesza osoby niepełnosprawne) – wówczas organizacja zobligowana jest do zapewnienia ochrony danym wrażliwym poprzez posiadanie opracowanej i wdrożonej polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych osobowych tylko osób mających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób); nie musi natomiast zgłaszać zbioru danych do GIODO (gdyż projekt jest skierowany do członków stowarzyszenia, a dane członków nie podlegają rejestracji);

i projekt ten jest skierowany także do osób z zewnątrz – organizacja jest wówczas zobligowana do zapewnienia ochrony danym wrażliwym poprzez posiadanie opracowanej i wdrożonej polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych jedynie osób mających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób) oraz do zgłoszenia tego zbioru danych do GIODO (ponieważ są to dane osób „z zewnątrz” organizacji). Przetwarzanie danych w ramach tego zbioru będzie możliwe dopiero po wydaniu przez GIODO zaświadczenia o rejestracji zbioru danych. Procedura rejestracji zbioru danych obejmującego dane wrażliwe trwa od 3 miesięcy do roku lub nawet dłużej.

PRZYKŁAD 4

Organizacja rekrutuje nowego pracownika do rozpoczynającego się projektu.

Przetwarzanie danych kandydatów do pracy również wymaga zapewnienia im ochrony poprzez opracowanie i wdrożenie polityki bezpieczeństwa (włącznie z dopuszczeniem do przetwarzania danych jedynie osób mających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób). Nie wymaga to natomiast zgłoszenia zbioru danych do GIODO.

PRZYKŁAD 5

Organizacja zatrudnia pracowników, zleca też prace na umowy o dzieło.

Przetwarzanie danych pracowników (zatrudnionych na umowę o pracę) oraz współpracowników (umowy zlecenia, umowy o dzieło) wymaga zapewnienia im ochrony poprzez opracowanie i wdrożenie polityki bezpieczeństwa (włącznie

z dopuszczeniem do przetwarzania danych tylko osób posiadających pisemne upoważnienie do ich przetwarzania oraz prowadzeniem ewidencji tych osób). Nie wymaga to natomiast zgłoszenia zbioru danych do GIODO.

UWAGA: Prowadzenie bazy danych w Excelu, programie Płatnik, innych programach posiadających moduły kadrowo-płacowe, wymaga posiadania przez organizację dodatkowego dokumentu, czyli instrukcji bezpiecznego zarządzania systemem informatycznym.

Dodatkowo, jeśli pieniądze z UE

Organizacje realizujące projekty współfinansowane ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego (np. PO KL) zobowiązane są dodatkowo (poza obowiązkami wynikającymi z ustawy o ochronie danych osobowych) do zapewnienia ochrony przetwarzanym danym osobowym beneficjentów zgodnie z zapisami umowy o dofinansowanie realizacji projektu zawieranej pomiędzy organizacją a instytucją pośredniczącą. Obowiązek ten dotyczy danych osobowych beneficjentów przetwarzanych w formie tradycyjnej (papierowej) oraz w ramach systemu PEFS. Wywiązywanie się organizacji z tego obowiązku weryfikowane jest podczas kontroli prowadzonych przez upoważnionych pracowników instytucji pośredniczących (urzędów marszałkowskich) / instytucji pośredniczących II stopnia (wojewódzkich urzędów pracy) w trakcie realizacji projektu albo po jej zakończeniu. Organizacja realizująca taki projekt (z okresu programowania 2007-2013) zobowiązana jest przechowywać dokumentację dotyczącą jego realizacji do dnia 31 grudnia 2020 r.

Co zyskujemy dzięki polityce bezpieczeństwa

Stosowanie w codziennym życiu organizacji zasad wynikających z polityki bezpieczeństwa pozwala na:

legalne przetwarzanie danych osobowych i danych wrażliwych.. Bez posiadania opracowanej i wdrożonej polityki bezpieczeństwa w zakresie ochrony danych osobowych (oraz instrukcji zarządzania systemem informatycznym, jeśli przetwarzamy dane w systemach informatycznych, komputerze) nie jest możliwe zgłoszenie zbioru danych do rejestracji w GIODO;

zapewnienie ochrony przetwarzanym danym osobowym i nierzadko danym wrażliwym, np. dotyczącym stanu zdrowia, stopnia niepełnosprawności;

w przypadku kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych prowadzonej przez GIODO lub np. instytucje nadzorujące realizację projektów współfinansowanych ze środków Unii Europejskiej (np. z PO KL) – okazanie dokumentów dotyczących stosowanych procedur w zakresie przetwarzania i ochrony danych osobowych;

uniknięcie kar (grzywny, ograniczenia wolności albo pozbawienia wolności do roku albo od roku do lat 3) za niedopełnienie obowiązków wynikających z ustawy albo z zapisów umowy o dofinansowanie realizacji projektu PO KL.

UWAGA:

Ustawodawca nie przewiduje w ustawie o ochronie danych osobowych kary za brak polityki bezpieczeństwa, ale jeśli organizacja nie zgłosi do rejestracji zbioru danych darczyńców czy wolontariuszy, a mimo to przetwarza je, poniesie karę (grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku). Z kolei bez opracowanej i wdrożonej polityki bezpieczeństwa nie jest możliwe dokonanie zgłoszenia zbioru danych osobowych do GIODO (część E, pkt 16, ppkt „d” zgłoszenia, o którym mowa w załączniku do rozporządzenia MSWiA z dnia 11 grudnia 2008 r., Dz. U. Nr 229, poz. 1536).

***

Podstawa prawna:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), roz. 5: Zabezpieczenie danych osobowych

Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

Rozporządzenie MSWiA z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536)

Autor: Agnieszka Majdzińska

Źródło: www.ngo.pl