RODO w NGO w CO – relacja ze spotkania

 

Przygotujmy się na zmiany

25 maja zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych, czyli osławione już RODO:  art. 35 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W związku z powyższym organizacje pozarządowe, przedsiębiorcy, korporacje, a więc praktycznie każdy podmiot w Polsce, który w ramach prowadzonej działalności (gospodarczej, statutowej, publicznej) przetwarza dane osobowe, stoją przed wyzwaniem: jak skutecznie przygotować się na zmiany. Temat, o którym w mediach ostatnio jest bardzo głośno i z pewnością będzie coraz głośniej.

Z chwilą opublikowania wydarzenia w mediach społecznościowych w ciągu zaledwie 24 godzin otrzymaliśmy lawinę zgłoszeń. Słuszne zatem okazały się przypuszczenia, że RODO zgromadzi znacznie większe audytorium niż w przypadku poprzednich trzech spotkań z cyklu “Prawo w działalności obywatelskiej”. W sali Centrum Obywatelskiego zebrało się ponad 30 osób (z 90 zgłoszonych – dla tych osób powtórzymy tematykę 10 maja), które przyszły z mnóstwem pytań, wątpliwości, a nawet obaw. Jak przygotować organizację na zmiany w przepisach o ochronie danych osobowych? O co warto zadbać? Na co szczególnie powinniśmy zwrócić uwagę w świetle przepisów RODO?

Nasi eksperci: Przemysław Żak (szef Programu Dobre Prawo Fundacji Stańczyka, której jest też współzałożycielem; ekspert prawny ws. prawa ngo, w tym zespołu przy OFOP, specjalista instrumentów prawnych kontroli obywatelskiej) oraz Anna Rozkuszka (radca prawny, była członkini zarządu Fundacji Stańczyka; z organizacjami pozarządowymi współpracuje od 2010 r., prócz doświadczeń w kontroli obywatelskiej, prowadząc również doradztwo prawne dla NGO), zapewnili i tym razem wysoki poziom merytoryczny spotkania podzielonego na część wykładową opartą na prezentacji oraz część z pytaniami. Całość obfitowała w przykłady doskonale ilustrujące i wyjaśniające co powinniśmy zrobić jeśli na przykład dotychczas przechowywanie danych osobowych wyglądało u nas inaczej niż zakłada nowe rozporządzenie.     


Preambuła

Przemysław Żak zachęcał do zapoznania się z tekstem unijnego rozporządzenia z uwzględnieniem preamuły, która jest czymś więcej niż “uroczystym” wprowadzeniem do akty prawnego. Prowadzący – pewnie podczas realizowanych szkoleń i konferencji  – zauważył, że duża część zainteresowanych tematem osób do tej pory nawet nie zapoznała się dobrze z tekstem unijnego rozporządzenia. Większość z nas bazuje więc głównie na doniesieniach z mediów. Wstęp do unijnego rozporządzenia stanowi preambuła licząca łącznie 173 motywy. Mają one bardzo istotne znaczenie dla poszczególnych wymagań prawnych przewidzianych w treści RODO i wskazują w jakim celu zostały one wprowadzone do porządku prawnego. Bardzo często preambuła wskazuje również przykłady, w jakich mają zastosowanie konkretne wymogi prawa, jak również rozwija ich znaczenie i ułatwia właściwą interpretację.

Analiza ryzyka

Każda organizacja przetwarzająca dane narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Stan ten nazywany jest „ryzykiem” – w wyniku zajścia określonych zdarzeń pojawia się możliwość niezrealizowania założeń organizacji.

Novum w RODO jest kwestia związana z koniecznością przeprowadzenia analizy ryzyka, która wskaże, jakie zabezpieczenia w stosunku do danych osobowych muszą zostać zastosowane. Poszczególne organizacje w zależności od realizowanych działań statutowych posiadają, przetwarzają dane, które ze względu na ich kategorię dzielimy na tzw. zwykłe i wrażliwe. Musimy zidentyfikować istniejące zagrożenia, jednak by to zrobić, musimy wiedzieć gdzie się znajdują dane i w jakiej formie się one znajdują (elektroniczna czy papierowa). Kiedy wiemy już gdzie są dane, musimy określić występujące zagrożenia. W tym miejscu musimy dokonać indywidualnej oceny, co może się stać z danymi w konkretnym obszarze (na przykład kradzież, spalenie, zalanie etc.) Kolejno oceniamy jak utrata konkretnej kategorii danych w konkretnym procesie wpłynie na całą organizację, na przykład krytyczne procesy zostaną zatrzymane, dojdzie do zerwania umów przez klientów, dojdzie do kontroli i konsekwencji z niej wynikających. Na kolejnym etapie powinniśmy określić stopień ryzyka konkretnego procesu, bo na przykład duże ryzyko utraty danych osobowych zapisanych na laptopie, z którego pracownik naszej organizacji korzysta poza biurem, zabiera na wakacje, zmniejszymy, gdy dane będą zapisywane w tzw. chmurze, czyli na dysku Google, do którego dostęp jest obwarowany dwustopniowym etapem weryfikacji użytkownika: hasło oraz kod otrzymywany w wiadomości sms. Ostatecznie wynikiem całego procesu jest określenie jakie działania wobec ryzyk powinny zostać podjęte, czyli na przykład jakie zabezpieczenia muszą być zastosowane, by uniknąć negatywnych konsekwencji w stosunku do konkretnej kategorii danych, która znajduje się w konkretnej lokalizacji.

Kary (bardziej dotkliwe)

Obecnie zagadnienia związane z ochroną danych osobowych reguluje ustawa o ochronie danych osobowych i rozporządzenia wydane na jej podstawie. Za przetwarzanie danych przez osobę nieuprawnioną, udostępnianie takich danych czy naruszenie obowiązku zabezpieczenia danych grozi kara grzywny, która nie może przekraczać 10 tys. zł w stosunku do osób fizycznych lub 50 tys. zł w stosunku do osób prawnych. Od maja 2018 roku (i wejścia w życie przepisów RODO) kary będą już znacznie dotkliwsze: instytucje kultury będą miały maksymalną karę 10 tys. zł., a instytucje publiczne 100 tys. zł. Każda instytucja będzie musiała wdrożyć odpowiednie procedury bezpieczeństwa i zbudować system raportowania.

[Nie]winna herbata

Na spotkaniu pojawiły się przykłady rozmaitych praktyk przechowywania danych: szafek z segregatorami z ogólnie dostępnym kluczykiem, laptopów z danymi, które powinny być odpowiednio chronione i innych. Odzwierciedleniem praktyk, które są nieobce organizacjom jest następująca sytuacja: przyjmujemy interesanta w biurze, a jesteśmy w trakcie jakichś czynności, mamy na monitorze otwartą listę naszych beneficjentów, wychodzimy z pokoju, by zrobić herbatę, a w tym czasie ten, kogo zostawiliśmy sam na sam z danymi, widzi je, czyta, ma do nich dostęp. Dobrze się stanie, gdy po minucie zreflektujemy się i  wrócimy do biura, by na przykład zamknąć plik z danymi, pamiętając również o tym, że na biurku nie powinniśmy mieć otwartych segregatorów (na przykład z umowami). Gdy w sposób nienależyty będziemy chronić dostępu do danych osobowych, możemy narazić osoby, których te dane dotyczą, na “naruszenie ochrony danych osobowych” czyli naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w innych sposób przetwarzanych [art.2 pk12 RODO].

Podsumowanie (i zapowiedź)

“Super merytorycznie, z szeroką perspektywą – z drugiej strony z naciskiem na praktykę i zdroworozsądkowe podejście. I to wszystko ludzkim, strawnym językiem. Dziękuję!” – czytamy w jednym z komentarzy w wydarzeniu RODO w NGO. Tak, czekamy na Wasze spostrzeżenia i zapraszamy do śledzenia naszego profilu w mediach społecznościowych! Czekamy również na Wasze opinie, które możecie wyrazić w anonimowej ankiecie ewaluacyjnej, którą otrzymaliście.

Tak, wiemy, dwie i pół godziny to stanowczo za mało, za krótko, nie dość wyczerpująco – z tego względu przesłaliśmy uczestnikom materiały (prezentację). Poza tym, nie martwcie się, zdecydowaliśmy się na powtórkę, tym bardziej, że zainteresowanych tematyką jest trzy razy więcej, aniżeli mogło wziąć udział w spotkaniu. Przewidzieliśmy kolejny termin już 10 maja, w siedzibie Fundacji Biuro Inicjatyw Społecznych, która jest współorganizatorem cyklu “Prawo w działalności obywatelskiej”. Więcej o tym wydarzeniu tutaj.