RODO w NGO

RODO w NGO – czy da się przez to przejść?  

Nowe przepisy ochrony danych osobowych, spędzają sen z powiek wszystkim aktywnym w sieci już od ponad roku. O ile większość z przedsiębiorców lepiej lub gorzej poradziła sobie z tą kwestią, to w środowisku NGO wciąż bardziej unika się tematu, zamiast spróbować się z nim zmierzyć.

Czy prawidłowe wdrożenie tzw. RODO naprawdę jest trudne i czasochłonne? Za nim odpowiem na to pytanie, chciałbym przedstawić 3 strategie podejścia do tematu, które spotykam w organizacjach i firmach.

Strategia nr 1. Maksymalna ostrożność

Skutkuje wręcz przesadnym stosowaniem wszelkiego rodzaju: wyskakujących okienek, checkbox-ów i gromadzeniem podpisów pod dziesiątkami niezrozumiałych zgód. Ta strategia opiera się na założeniu, że jeżeli będziemy nadgorliwi, nawet kosztem niezadowolenia klientów, to będziemy mieli spokój z odpowiedzialnością prawną. Niestety nic bardziej mylnego! Rozporządzenie RODO i cała „filozofia” nowych przepisów polega na jasnej komunikacji, która będzie zrozumiała dla przeciętnego użytkownika/ klienta. Co więcej, zakłada świadomość i dobrowolność wyrażanych zgód. Tak więc np. część z wyskakujących okienek wymuszających zgody, by skorzystać z usługi jest po prostu nieważna z mocy samego prawa (dobre przykłady znajdziesz tutaj). Najczęściej stosują tę strategię średniej wielkości przedsiębiorcy, którzy mają środki na obudowanie się przepisami, ale albo trafili na złych doradców, albo sami nie zrozumieli nowej idei ochrony danych osobowych.

RODO w NGO
foto. @nickmorrison

Strategia nr 2. Unikanie problemu

Coraz rzadziej występuje ona wśród przedsiębiorców. Ostatnie kary stały się bowiem naprawdę surowe i wszyscy zaczynają rozumieć, że bagatelizowanie ochrony danych się po prostu nie opłaca. Niestety, w III sektorze to wciąż najpowszechniejsza taktyka. Dziesiątki stron bez polityk prywatności, błędne zgody na używanie cookies, brak podstawowych informacji w newsletterze – to tylko wierzchołek góry lodowej. Jest także cała masa błędnych praktyk i niezgodnych z prawem działań, które są stosowane poza Internetem. Spotykam się z nimi na co dzień i często jestem przerażony, gdyż braki w ochronie danych osobowych w rzeczywistym świecie są dużo groźniejsze od uchybień online. Jakie są to błędy? Najczęściej jest to zbieranie danych osobowych od darczyńców, wolontariuszy i członków, które jest niepotrzebne i nieuzasadnione. Organizacje często stosują formularze, których nie powstydziłby się żaden urzędnik, czyli pytają o wszystko co się da i zbierają wszystkie możliwe dane, nie zastanawiając się po co w ogóle są one im potrzebne. Tak jest np. z: adresami zameldowania, numerami dowodów osobistych, numerami PESEL itp. W większości przypadków, nawet dla prostych umów, nie ma potrzeby gromadzenia takiej ilości danych. A to dopiero początek uchybień, bo potem coś z tymi danymi trzeba zrobić… Tutaj problemy się piętrzą, gdy dane lądują w domu prezesa, w chmurze na koncie mailowym dostępnym dla większości pracowników, leżą na stercie dokumentów w biurze itd.

RODO w NGO
foto. @andrewtneel

Strategia nr 3. Złoty środek

Działanie, które zawsze rekomenduję wszystkim niezależnie od branży. Taka też filozofia kryje się za całym systemem ochrony danych osobowych w UE. Często powtarzam zdziwionym klientom, że dzięki RODO jest obecnie dużo łatwiej. Dlaczego? Ponieważ odpadło bardzo dużo zbędnej biurokracji. Nie ma już wymogu wdrażania IZSI i Polityki bezpieczeństwa. Pamiętacie jeszcze te dokumenty? Jeżeli nie, przeczytajcie o nich w moich archiwalnych wpisach i zobaczcie, jak bezsensowne zapisy tam się znajdowały. Przepisy prawa wymagały od nas konkretnych czynności i działań, niezależnie co robiliśmy, gdzie i jak działaliśmy. Kończyło się na opisywaniu głupot, w rodzaju pancernych szafek zamykanych na klucz z danymi, które miały tylko formę elektroniczną. Obecnie, dzięki RODO (tak, tak;)) nie ma już wymogu prowadzenia żadnej konkretnej dokumentacji. To my jako gromadzący dane musimy ocenić jakie dokumenty zabezpieczą nas i dane osób, które gromadzimy. Daje to ogromną elastyczność i pozwala na stworzenie naprawdę przemyślanego systemu ochrony. Nie musimy zasypywać odbiorców setką zgód – wystarczy jak napiszemy prostą informację: jakie dane, w jakim celu, w jaki sposób przetwarzamy i damy parę informacji z art 13. RODO.

RODO w NGO
foto. @headwayio

Boicie się, że nie będzie to fachowym językiem? Niepotrzebnie, im prościej i zrozumiale, tym lepiej. RODO wymaga od nas właśnie prostoty w komunikacji. Na marginesie dodam, że część z baaardzo rozbudowanych zgód jest po prostu niezgodna z motywem 32 preambuły RODO.

Jak pewnie się domyślacie rekomenduję podejście trzecie. Od czego dokładnie się zabrać do wdrażania RODO? Stworzyłem małą mapę drogową dla Ciebie:

  1. Zidentyfikuj jakie dane zbierasz. Nie jest to oczywiste, wbrew pozorom. Pewnie wszyscy zbieramy cookies na stronach, ale już adresy e-mail? Informacje osobowe? Jak opracować przetwarzanie cookies przeczytasz w artykule na moim blogu.
  2. Zastanów się, na jakiej podstawie je gromadzisz? Zgoda nie jest wbrew pozorom jedyną taką podstawa. Wszystkie podstawy przetwarzania sprawdzisz w art. 6 ust. 1 RODO.
  3. Poinformuj o tym: jakie dane, w jakim celu i na jakiej podstawie przetwarzasz. Najlepiej zrób to w formie jednego dokumentu (polityki prywatności), do którego zrobisz odnośniki z krótszych formułek na stronie (np. pod formularzem kontaktowym, pod klauzulą cookies itd.)
  4. Pamiętaj o dodatkowej dokumentacji, przede wszystkim o rejestrze przetwarzania danych osobowych – kto musi taki rejestr stosować przeczytasz tutaj.
  5. Zabezpiecz swoje systemy informatyczne. Nie trzymaj danych osobowych w chmurze – chyba, że odpowiednio zabezpieczone. Stosuj trudne hasła i wszystkie inne zabezpieczenia związane z bezpieczeństwem IT. Tak na marginesie, powinniśmy je stosować nie tylko ze względu na RODO, ale przede wszystkim dla własnego bezpieczeństwa w sieci.
  6. Aktualizuj na bieżąco. Czy nie zacząłeś gromadzić nowych danych? Czy nie przetwarzasz danych w inny sposób? Czy zabezpieczenia są aktualne?
RODO w NGO

Taka lista działań będzie wystarczająca dla małej organizacji lub firmy, ale już na pewno nie gdy NGO zatrudnia pracowników, prowadzi regularny wolontariat, kieruje działania do niepełnoletnich, wykorzystuje wizerunek lub twórczość innych osób. W takich sytuacjach najlepiej przeprowadzić krótki audyt we współpracy z prawnikiem i informatykiem. Pozwoli to wypracować Ci konkretne rozwiązania, odpowiednie dla prowadzonych przez Ciebie działań.

Przestrzegam również przed gotowymi rozwiązaniami do pobrania z sieci. Oczywiście są takie, które mają dobry tutorial i można wszystko ustawić wedle potrzeb. Ze względu jednak na wspomnianą wyżej „filozofię” RODO najlepiej sprawdzą się rozwiązania projektowane pod konkretne potrzeby. Tylko w ten sposób unikniemy zbędnej papierologii i zadbamy o zrozumiałą informację dla zainteresowanych.

Jeżeli chcesz dowiedzieć się więcej o ochronie danych osobowych na podstawie RODO, polecam zapoznać się z oficjalnymi wytycznymi UE – bardzo konkretnie i zrozumiałe wyjaśnienie przepisów. Możesz też przeczytać więcej o definicjach i zasadach ochrony danych osobowych w moim artykule na temat stosowania RODO.

RODO w NGO
foto. @tjerwin

Podziel się tym artykułem!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

error

Dołącz do Nas!

w- centrum