Publicystyka - ngo.pl

Pamiętam, jak około piętnastu lat temu mówiło się o księgowości, którą organizacje muszą prowadzić. Wszyscy machali ręką i myśleli, że te przepisy nie wpłyną poważnie na funkcjonowanie organizacji pozarządowych. Tak się nie stało. Dziś podobnie jest z RODO. Wiele organizacji niewiele zrobiło w tym zakresie. Szczególnie tych małych, lokalnych: kluby sportowe, ochotnicze straże pożarne czy koła gospodyń wiejskich.

A sama dokumentacja nie jest trudna. Nie jest trudna dla tych, którzy się tym tematem zajmują na co dzień. Czyli tak samo jak prowadzenie księgowości dla księgowych. I może faktycznie kilka lat temu, jak przepisy wchodziły w życie, to nie wszystko wiedzieliśmy.

Przez ostatnie trzy lata Prezes Urzędu Ochrony Danych Osobowych (czyli ten urząd, który nas kontroluje i daje nam wytyczne, jak stosować RODO) rozstrzygnął osiem spraw dotyczących podmiotów trzeciego sektora (sześć w sprawie stowarzyszeń i fundacji oraz dwie w sprawach związków zawodowych). I nałożył jedną karę.

To oznacza, że nie jest tak, że nikt nas nie może skontrolować i RODO dotyczy tylko urzędów czy dużych firm.

Pojawiło się też kilka wyzwań. Takim chyba największym są koszty. By zdjąć sobie z głowy ten temat, to (tak samo jak z księgowością) trzeba mieć kogoś, kto ogarnie całą sprawę. A to niestety wiąże się ze znalezieniem środków. Oczywiście, co do zasady, organizacja pozarządowa nie musi mieć inspektora ochrony danych, ale wówczas musi być ktoś, kto pilnuje wszystkich tematów związanych z RODO. Z mojej obserwacji wynika, że wiele organizacji nie wyznaczyło inspektora, bo ich na to nie stać.

Ale też wiele organizacji, pisząc oferty realizacji zadania publicznego czy inne wnioski, nie wpisuje takich pozycji w kosztorys, w środki administracyjne: obsługi RODO. I znowu odwołam się do doświadczeń księgowości. Kiedyś nikt nie wpisywał obsługi księgowej, a teraz jest to oczywista oczywistość. Wcześniej urzędnicy uważali, że jest to wydatek, który organizacja powinna załatwić we własnym zakresie.

Dużym problem jest też, że nawet jeżeli mamy już całą dokumentację, to nie wiadomo jak ją wdrożyć. Często leży więc ona na półce i pokrywa ją kurz. Trudno bowiem, nie znając się na temacie, wiedzieć, co komu dać do podpisu, jak uzupełniać rejestry i jak prowadzić inne dokumenty na bieżąco. Ponadto wiele osób myśli, że jak dokumentacja jest wdrożona, to już po wszystkim. A trzeba pamiętać, że RODO jest w każdym zakamarku – w każdej umowie, którą podpisujemy, każdym regulaminie czy uchwale, którą podejmujemy. A nawet jakby miało nie być, to ktoś, kto jest od RODO powinien sprawą się zająć. Troszkę tak, jak w urzędach – wszyscy dają wszystkie przygotowane dokumenty do prawnika.

Przepisy wchodziły partiami. Owszem, samo RODO weszło w życie 25 maja 2018 roku, ale dużo przepisów, naszych krajowych, zaczęło obowiązywać 4 maja 2019 roku. Również teraz, przy zmianach różnych ustaw czy wdrażaniu nowych rozwiązań prawnych, trzeba na bieżąco śledzić, jak jest tam uregulowana ochrona danych osobowych. Ponadto PUODO wydał wiele wskazówek i przede wszystkim decyzji, które stały się swoistymi wytycznymi dla wszystkich zajmujących się RODO. To wszystko powoduje, że trzeba aktualizować dokumentację wewnętrzną, ale przede wszystkim obowiązki informacyjne (to takie długie RODO, które w wielu miejscach dostajemy), które przekazuje się do podpisania lub odklikania wszystkim, od kogo pobieramy dane osobowe.

Prawidłowe obowiązki informacyjne, to też oddzielny temat. Jest to jeden z najczęstszych dokumentów przygotowanych przez organizacje pozarządowe. Niestety jednak są one często zrobione w 2018 roku, a od tamtego czasu wiele się zmieniło. Zgodnie z przepisami, gdy od kogoś pobieramy dane osobowe, to musimy tę osobę lub firmę poinformować o tym. Przez te trzy lata Prezes Urzędu Ochrony Danych Osobowych wskazywał w swoich decyzjach i odpowiedziach na pytania, że do każdej czynności przetwarzania musi być oddzielny obowiązek informacyjny. A to oznacza, że w organizacjach prowadzących podstawową działalność to jest od kilku do kilkunastu obowiązków, a w takich, które prowadzą dużą działalność, to nawet i kilkadziesiąt (np. dla członków, zleceniobiorców, pracowników, kontrahentów, wolontariuszy, beneficjentów projektów itp.). Ponadto często zmieniają się podstawy prawne w naszym kraju, wchodzą nowe przepisy, zmienia się okres przechowywania danych osobowych, podmioty, do których przekazujemy dane (np. firmy informatyczne), a to wszystko wpływa na obowiązek informacyjny. Rodzi to często konieczność ich aktualizacji. Niestety wiele organizacji pozarządowych, jak sobie coś opracowało trzy lata temu, tak do dziś z tego korzysta.

Ponadto dużym wyzwaniem jest przeszkolenie całej kadry. Szczególnie wolontariuszy. W każdej organizacji pozarządowej ich rotacja jest dość duża, więc trzeba cały czas nowym osobom opowiadać o sprawach związanych z RODO. I choć samo szkolenie nie wynika z przepisów prawa wprost (chyba że jest powołany inspektor ochrony danych, wówczas ma on za zadanie szkolić), to wszyscy muszą być zaznajomieni z przepisami o ochronie danych w naszej organizacji.

Przekazywanie danych osobowych do innych podmiotów też rodzi wiele wątpliwości. Organizacja musi ocenić kiedy mamy do czynienia z relacją Administrator Danych Osobowych – Administrator Danych Osobowych, a kiedy Administrator Danych Osobowych – Podmiot Przetwarzający. Żeby było trudniej, to gdy organizacja (szczególnie, jako partner) realizuje projekty finansowane ze środków unijnych, to może wystąpić relacja Podmiot Przetwarzający – Podmiot Podprzetwarzający. Często organizacji trudno jest ocenić, jakim jest podmiotem i jakie dokumenty podpisać, bądź nie podpisać z innym podmiotem. Czy tu powinna być umowa powierzenia czy nie? I ewentualnie w jakim zakresie? Czy może nic nie podpisujemy, bo to wynika z jakiegoś przepisu prawa? Organizacja zaczyna różne działania, przekazuje różne dane osobowe i nie zastanawia się, czy jeszcze czegoś nie powinna w tym zakresie zrobić. A musi to koniecznie określić, by prawidłowo przekazywać dane do innych podmiotów. 

Tu zwracam uwagę, na podstawie własnych doświadczeń, żeby organizacja dobrze sprawdziła, z jakich ogólnodostępnych internetowych narzędzi korzysta (Facebook, Instagram, YouTube, WeTransfer, darmowe strony www, itp.).

Przede wszystkim wiele organizacji pozarządowych dalej korzysta z maili bezpłatnych założonych wiele lat temu (na przykład wp, onet itp.). I sama bezpłatność tych maili to nie problem, problemem jest brak umów powierzenia przetwarzania danych osobowych, które w takich wypadkach są obowiązkowe. Wiadomym jest, że przy bezpłatnych adresach mailowych mało która firma weźmie na siebie odpowiedzialność za zabezpieczenie danych. Niemniej są takie dwie, które przyznają organizacjom pozarządowym darmowe licencje: Microsoft i Google. Wtedy nie dość, że można mieć zgodnego z RODO maila, ale i „chmurę”. I przyznam, że nie rozumiem, czemu organizacje z tego nie korzystają.

Organizacje też posiadają wiele różnych baz danych, gromadzonych przez lata przy okazji różnych projektów, konferencji, mailingów itp. Część organizacji, niezależnie od przepisów, korzysta sobie z tych danych dowolnie. A trzeba pamiętać, że jak mamy dane osobowe, to możemy je wykorzystać tylko do konkretnego celu i tylko przez przewidziany czas. A nie na zawsze i do wszystkiego. I na szczęście część organizacji już to wie i skasowała bądź zlikwidowała takie bazy.

Organizacje pozarządowe, szczególnie te, które działają lokalnie, borykają się również z problemem własnej siedziby. A co dopiero mówić o tym, by miały jakieś miejsca na chowanie dokumentów zgodne z RODO. Dobrze, jak znajdzie się jakaś szafka z kluczem, bo dzięki temu choć troszkę można zabezpieczyć różne dokumenty. Wiadomym też jest, że wiele osób zabiera dokumenty do swoich domów, gdzie co prawda są bezpieczniejsze niż w jakimś otwartym dla wszystkich pomieszczeniu (jak na przykład dom kultury, świetlica czy inne miejsce, do którego jest swobodny dostęp), ale i tak nie są prawidłowo chronione.

Jest jeszcze jedno bardziej skomplikowane zagadnienie, którego wiele organizacji w ogóle nie realizuje. Bo obowiązki informacyjne czy polityka ochrony danych osobowych jakieś, bo jakieś, ale jednak w części organizacji są. Ale to, co nie jest prowadzone, a często od tego zaczyna się kontrola, to rejestr czynności przetwarzania (a gdy jesteśmy podmiotem przetwarzającym, to jeszcze rejestr kategorii czynności przetwarzania). Oczywiście są wyjątki, kiedy nie trzeba tego robić, ale jeżeli organizacje przetwarzają dane wrażliwe (np. stan zdrowia), lub robią to w sposób nie sporadyczny (czyli innymi słowy w sposób permanentny), to mają taki obowiązek. Rejestry to nie najprostsza rzecz. Trzeba je uzupełniać na bieżąco. Troszkę tak, jak wpisuje się faktury do programów księgowych.

Bardzo rzadko też organizacje operują danymi osobowymi na zasadzie obowiązkowej oceny ryzyka. Chodzi o to, że powinniśmy ocenić, jakie jest prawdopodobieństwo wycieku danych osobowych oraz, co się może wydarzyć, gdyby organizacja faktycznie straciła nad nimi kontrolę (np. ktoś je ukradł lub zostały zgubione).

Wiele organizacji niestety nadal uważa, że RODO przyszło na chwilę. Wynajdują mnóstwo powodów, dlaczego ich ochrona danych osobowych nie dotyczy. Była nawet organizacja pozarządowa, która przed sądem twierdziła, że podmioty nieprofesjonalne przetwarzając dane, są zwolnione ze stosowania przepisów o ochronie danych osobowych. Jednakże Wojewódzki Sąd Administracyjny w Warszawie nie podzielił tej opinii i podtrzymał karę finansową nałożoną na ten podmiot.

A! I przede wszystkim trzeba pamiętać, że RODO jest super.

#rodojestsuper

Andrzej Rybus-Tołłoczko – Administratywista, ukończył Wydział Prawa i Administracji na Uniwersytecie Kardynała Stefana Wyszyńskiego, 10 lat pracował w urzędach samorządowych (m.in. w Urzędzie Miasta Stołecznego Warszawy i Urzędzie Miasta Płocka) i rządowych (Mazowiecki Urząd Wojewódzki w Warszawie). Od ponad 20 lat działa w sektorze pozarządowym.

Trener, który prowadzi szkolenia w całej Polsce dla urzędów i organizacji pozarządowych w obszarze: ofert realizacji zadań publicznych, pozyskiwania środków, ochrony danych osobowych, zmian w prawie, wprowadzania narzędzi partycypacyjnych.

Prezes Eart Sp. z o.o., członek zarządu Ogólnopolskiej Federacji Organizacji Pozarządowych, Przewodniczący Konwentu Wojewódzkich Rad Działalności Pożytku Publicznego, współprzewodniczący Mazowieckiej Rady Działalności Pożytku Publicznego przy Marszałku Województwa Mazowieckiego, członek prezydium Komisji Dialogu Społecznego ds. Edukacji przy urzędzie m.st. Warszawy.