Organizacja pozarządowa bez strony internetowej? To możliwe. Standardem jest jednak, że NGO-sy wykorzystują strony do „kontaktu ze światem”, promocji, fundraisingu. Wejście w życie w maju 2018 r. ogólnego rozporządzenia o ochronie danych (tzw. RODO) nieco skomplikowało prowadzenie stron. Na co powinny uważać organizacje? Przeczytaj wyjaśnienia kancelarii SSW Pragmatic Solutions w ramach cyklu ngo.pl i Centrum Pro Bono!
Tekst przygotowała Aleksandra Cisoń-Kurdziel i Joanna Tomaszewska, Praktyka Ochrony Danych Osobowych, Kancelaria SSW Pragmatic Solutions.
PYTANIE ORGANIZACJI POZARZĄDOWEJ
Prowadzimy stronę organizacji. Wiemy, że nasza strona zbiera dane osobowe, ponieważ jest na niej formularz kontaktowy. Jakie zmiany muszą zajść na stronie internetowej, aby spełniała ona wszystkie warunki RODO?
Odpowiedź Kancelarii SSW Pragmatic Solutions
Obowiązki. Co widać
Dostosowanie strony internetowej do RODO to nie tylko spełnienie obowiązków, które "widać" na tej stronie (czyli np. zawieszenie odpowiednich informacji czy klauzul zgód), ale to cały szereg obowiązków, które podmiot odpowiedzialny za dane powinien spełnić, a których na tej stronie "nie widać".
W pierwszej kolejności, aby dostosować do RODO naszą stronę internetową, na której zbieramy dane osobowe, należy:
- zaktualizować politykę prywatności i zweryfikować czy zgoda na przetwarzanie danych osobowych spełnia wymogi RODO,
- wdrożyć odpowiednie zabezpieczenia (np. certyfikat SSL),
- zweryfikować czy w ramach formularza kontaktowego, zbieramy tylko takie dane, które są nam niezbędne.
Kluczową kwestią w dostosowaniu strony internetowej do wymogów RODO jest aktualizacja regulaminu i polityki prywatności znajdujących się na stronie. Dzięki temu użytkownicy będą mogli dowiedzieć się, w jaki sposób ich dane osobowe są przez nas przetwarzane.
Dobrym rozwiązaniem, oprócz zamieszczenia na stronie www, polityki prywatności i regulaminu, jest „wyciągniecie przed nawias” najważniejszych informacji z polityki prywatności (takich jak: dane i adres administratora danych, cel przetwarzania, informacja o możliwości realizacji swoich praw wobec danych, dane inspektora ochrony danych - jeśli jest powołany) i zamieszczenie ich w miejscu gdzie zbieramy dane czyli np. przy formularzu kontaktowym (wraz z zamieszczeniem tam linku odsyłającego do całej polityki prywatności). Takie postępowanie będzie zgodne z zasadą przejrzystości.
Inne obowiązki. Czego nie widać
Oprócz tego co opisaliśmy powyżej, w zależności od celów i sposobu w jaki przetwarzamy na naszej stronie dane osobowe, należy zweryfikować konieczność spełnienia (a następnie spełnić), również inne obowiązki wynikające z RODO. Trzeba więc:
- mieć na uwadze zasady przetwarzania danych (zasada zgodności z prawem, przejrzystości, ograniczenia celu, prawidłowości, minimalizacji danych), a w szczególności zadbać o to by dane osobowe nie były przechowywane dłużej niż jest to niezbędne (zasada ograniczenia przechowywania) - móc również wykazać, że te zasady są przestrzegane (zasada rozliczalności),
- zweryfikować, którzy z naszych podwykonawców mają dostęp do danych i przetwarzają dane osobowe w naszym imieniu (np. firmy serwisujące stronę internetową, wysyłające newsletter w naszym imieniu) - należy podpisać z nimi odpowiednie umowy powierzenia przetwarzania danych osobowych (lub aneksować umowy z klauzulą powierzenia danych),
- zweryfikować systemy zabezpieczeń, (przede wszystkim bezpieczeństwo danych, kontrola dostępu, szyfrowanie, adekwatność środków technicznych i organizacyjnych do możliwych ryzyk, na jakie są narażone dane osobowe),
- w przypadku projektowania nowych stron lub wdrażania aktualizacji systemów IT należy uwzględnić zasady prywatności w fazie projektowania (privacy by design) i domyślnej ochrony danych (privacy by default),
- w sytuacji przekazywania danych poza UE (np. w przypadku gdy trzymamy dane osobowe w chmurze zamieszczonej poza UE), należy sprawdzić czy spełniamy wymogi transferowe,
- trzeba zadbać o wdrożenie procedury wykonywania praw osób, których dane dotyczą (i których dane zbieramy), jak i procedury zgłaszania i reagowania na naruszenia ochrony danych, w razie ich wystąpienia,
- zweryfikować czy mamy obowiązek powołania inspektora ochrony danych osobowych,
- jeżeli profilujemy osoby, których dane zbieramy na stronie internetowej dla celów marketingowych, np. do oceny zainteresowań w związku z zakupami, należy zweryfikować czy profilowanie takie wymaga spełnienia określonych wymogów RODO,
- prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania,
- zweryfikować konieczność przeprowadzenia oceny skutków dla ochrony danych,
- zweryfikować politykę cookies,
- zweryfikować czy zgody na komunikację elektroniczną (czy też na telemarketing) spełniają wymogi przepisów o świadczeniu usług drogą elektroniczną i prawa telekomunikacyjnego.
Swoboda w doborze środków
Pamiętajmy, że RODO daje nam swobodę w doborze środków, którymi zapewnimy prywatność i ochronę danych osobowych naszych klientów, dlatego to wyłącznie od nas zależy jakie zabezpieczenia zostaną wdrożone, a stopień bezpieczeństwa danych powinien być odpowiedni do ryzyk naruszenia praw osób, których dane przetwarzamy.
Dodatkowo zgodnie z zasadą rozliczalności powinniśmy zadbać o to by móc wykazać spełnienie wymogów wynikających z RODO, poprzez odpowiednią dokumentację, procedury, umowy czy fakt, że jesteśmy w stanie wykazać, że ktoś nam wyraził zgodę na przetwarzanie danych.
więcej na temat RODO (zasad, zgód, wymogów, procedur) w poradnik.ngo.pl
Program Centrum Pro Bono jest realizowany przez Fundację Uniwersyteckich Poradni Prawnych od 2007 roku. Inicjatywa Centrum Pro Bono zaspokaja rosnącą potrzebę pomocy prawnej pro bono na rzecz organizacji III sektora. Głównym obszarem działalności Centrum Pro Bono jest pośredniczenie pomiędzy organizacjami pozarządowymi poszukującymi wsparcia prawnego, a prawnikami, chętnymi do świadczenia pomocy prawnej pro bono. Dodatkowo, ścisła współpraca z kancelariami prawnymi i najlepszymi ekspertami w swoich dziedzinach pozwala nam podejmować wyzwania w postaci różnych projektów edukacyjnych i szkoleniowych skierowanych do organizacji non-profit. Obecnie z Centrum Pro Bono współpracuje 30 kancelarii z całej Polski.
Więcej informacji: http://www.centrumprobono.pl/
Praktyka Ochrony Danych Osobowych
Kancelaria SSW Pragmatic Solutions
SSW Pragmatic Solutions to połączenie wiedzy, doświadczenia i profesjonalizmu. Świadczymy usługi doradztwa prawnego, podatkowego, księgowego i finansowego, jak również w obszarze nowych technologii w różnych sektorach gospodarki: od bankowości i finansów, poprzez rynki kapitałowe, fuzje i przejęcia, zamówienia publiczne po energetykę, górnictwo czy nieruchomości. Stawiamy na pasję i różnorodność, dzięki czemu kreatywnie patrzymy i rozwiązujemy rzeczywiste wyzwania biznesowe naszych klientów. Jesteśmy zawsze w centrum dyskusji o najnowszych trendach, dlatego naszą odpowiedzią na nie jest unikatowe doradztwo i pragmatyczne rozwiązania, niezależnie od tego czy chcesz stosować w swoim biznesie najbardziej efektywne struktury podatkowe, czy z powodzeniem rozszerzać działalność na nowe lokalizacje i sektory biznesowe.
Źródło: inf. własna poradnik.ngo.pl
Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy.
