Publicystyka - ngo.pl

W ramach starań o środki unijne prowadzimy badanie ankietowe. Ponieważ ankiety wykorzystujemy też jako formularz rejestracyjny do projektu, zawierają one takie dane jak: imię, nazwisko, adres e-mail, status socjalny, stan zdrowia itp. Planujemy stworzyć małą bazę do analizy ankiet. Jakie formy zabezpieczenia zebranych ankiet i bazy powinniśmy zastosować? Czy wystarczy ograniczony hasłem dostęp do komputera? Czy trzymać ankiety w szafce zamkniętej na klucz? Czy powinniśmy jeszcze dodatkowo zgłaszać gdzieś naszą aktywność? Czy na ankietach musi się znajdować formuła o zgodzie na przetwarzanie danych osobowych?

Każdy administrator danych osobowych (a w opisanym tu przypadku organizacja pozarządowa z pewnością będzie administratorem danych osobowych) zobowiązany jest do należytego zabezpieczenia danych osobowych, w sposób określony w artykułach 36-39a ustawy o ochronie danych osobowych.

przypominamy w PORADNIK.NGO.PL: jakie dane posiada organizacja i jakie wynikają z tego obowiązki

Obowiązki opisane w ustawie o ochronie danych osobowych obejmują między innymi konieczność wdrożenia stosownej dokumentacji wewnętrznej (polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym), konieczność nadawania pisemnych upoważnień osobom mającym dostęp do danych osobowych oraz prowadzenia ewidencji nadanych upoważnień.

Szczegółowe warunki dotyczące stosowanych środków bezpieczeństwa zawarte zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych oraz organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie określa w sposób precyzyjny, jakie elementy powinna zawierać dokumentacja wewnętrzna oraz podstawowe warunki techniczne, jakie powinny spełniać systemy informatyczne w których dane osobowe są przetwarzane, m.in. w zakresie loginów, haseł, sporządzania kopii zapasowych czy też zabezpieczenia przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.

Login (identyfikator) użytkownika w systemie powinien być unikatowy (przypisany wyłącznie do jednej osoby) oraz nie może być przydzielany innej osobie, a hasło powinno być zmieniane nie rzadziej niż co 30 dni, powinno składać się co najmniej z 8 znaków oraz zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.

Mając na względzie obszerność poruszonej tematyki, celem uzyskania bardziej szczegółowych informacji odsyłamy do lektury wspomnianego rozporządzenia (zobacz rozporządzenie) oraz do art. 36-39a ustawy o ochronie danych osobowych (zobacz ustawę).

zobacz też w PORADNIK.NGO.PL:
Polityka bezpieczeństwa danych osobowych w organizacji pozarządowej

Ponadto, zgodnie z art. 40 ustawy o ochronie danych osobowych, co do zasady każdy administrator danych osobowych jest zobowiązany zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

zobacz: rejestracja w GIODO

Ustawa nie przewiduje w tym zakresie wyłączeń dotyczących zbiorów danych osobowych przetwarzanych przez fundację czy stowarzyszenie, a zatem zbiór zawierający dane osobowe uczestników projektu podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych na zasadach ogólnych.

Mając na względzie, iż w opisywanym w pytaniu przypadku pozyskiwane będą DANE WRAŻLIWE (np. dane o stanie zdrowia) rekomendujemy również uzyskanie pisemnej zgody od poszczególnych osób na przetwarzanie ich danych osobowych w celu przeprowadzenia analizy oraz opracowania jej wyników.

zobacz też: Co to są dane „zwykłe” i dane „wrażliwe”?

Więcej informacji: http://www.centrumprobono.pl/

Gide jako jedna z pierwszych międzynarodowych kancelarii otworzyła biuro w Polsce w 1991 r. Obecnie w warszawskim biurze kancelarii Gide pracuje około 40 adwokatów, radców prawnych i doradców podatkowych. Klientami warszawskiego biura kancelarii są między innymi instytucje finansowe, banki, firmy ubezpieczeniowe, inwestorzy zagraniczni, spółki i inne przedsiębiorstwa krajowe w tym spółki Skarbu Państwa oraz instytucje z sektora publicznego.

Prawnicy kancelarii mają rozległe doświadczenie w doradztwie w zakresie obowiązków administratorów danych osobowych oraz innych podmiotów przetwarzających dane osobowe i regularnie doradzają swoim klientom (mającym siedziby zarówno w państwach Europejskiego Obszaru Gospodarczego jak i w państwach trzecich) w sprawach z zakresu bezpieczeństwa danych osobowych, ich przetwarzania oraz udostępniania innym podmiotom.

Kancelaria Gide od lat angażuje się w działania pro bono.

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.