Obowiązki RODO dla Koła Gospodyń Wiejskich
RODO jest z nami już prawie 4 lata. To długo a jednak wiele podmiotów nadal nie przeprowadziło wdrożenia wymaganych dokumentów. Z rozmów z naszymi potencjalnymi klientami wynika, że często dzieje się tak ponieważ trwali w przekonaniu, że RODO dotyczy tylko dużych firm, spółek, korporacji, administracji publicznej a nie na przykład małej organizacji pozarządowej czy Koła Gospodyń Wiejskich. RODO obowiązuje nawet w strukturach, które mogą nie mieć osobowości prawnej a jednak dochodzi do przetwarzania danych osobowych.
Administrator Danych Osobowych i Inspektor Danych Osobowych
Koło Gospodyń Wiejskich jest społeczną organizacją mieszkańców wsi, jednak może również funkcjonować jako stowarzyszenie czy fundacja. Możemy więc mieć różne podstawy prawne działania i wynikającego z tego obowiązki. Niezależnie jednak od podstawy prawnej funkcjonowania Administratorem Danych Osobowych jest Koło Gospodyń Wiejskich. To na Administratorze spoczywa odpowiedzialność za przetwarzane dane osobowe. Koło Gospodyń Wiejskich nie ma obowiązku powołania Inspektora Ochrony Danych ale ma obowiązek posiadać pełną i prawidłowo prowadzą dokumentację. Warto, w formie dostosowanej do skali działania, oddać się pod opiekę profesjonalistów.
Niezbędne dokumenty dla Koła Gospodyń Wiejskich
Wdrożenie niezbędnej dokumentacji RODO należy zacząć od audytu, który polega na stworzeniu pewnego rodzaju mapy procesów, w których dochodzi do przetwarzania danych osobowych. Po dokonaniu audytu można przygotować niezbędną dokumentację, w skład której wchodzi przede wszystkim:
- Analiza zagrożeń i ryzyka,
- Polityka Ochrony Danych Osobowych,
- wzór upoważnienia do przetwarzania danych osobowych,
- wzór oświadczenia o zachowaniu poufności,
- wzór rejestru upoważnień do przetwarzania danych osobowych,
- wzór rejestru umów powierzenia danych osobowych,
- wzór rejestru naruszeń bezpieczeństwa danych osobowych,
- wzór raportu z naruszenia bezpieczeństwa danych osobowych,
- wzór rejestru czynności przetwarzania danych osobowych,
- wzór kategorii czynności przetwarzania danych osobowych,
- obowiązki informacyjne.
To bardzo podstawowy pakiet startowy między innymi dla Koła Gospodyń Wiejskich. Należy jednak pamiętać, że RODO to trochę jak żywy organizm. Jak organizacja rośnie, realizuje coraz więcej zadań, projektów to i obowiązki wynikające z RODO powiększają się. Ponadto należy systematycznie pracować z rejestrem czynności przetwarzania danych osobowych, który powinien odzwierciedlać wszystkie bieżące procesy zachodzące w organizacji, w których dochodzi do przetwarzania danych osobowych. Szukając analogii dla rejestru czynności można przyrównać go do uproszczonej ewidencji przychodów i kosztów.
Powyższe oznacza, że z dokumentacją dotyczącą ochrony danych osobowych należy pracować na bieżąco i sprawdzać jej aktualność.
Obowiązki informacyjne
Do każdej czynności przetwarzania danych osobowych niezbędne są obowiązki informacyjne. Koło Gospodyń Wiejskich musi przede wszystkim wywiązać się z obowiązków informacyjnych wobec swoich członkiń i członków oraz władz Koła. Jeśli zaś Koło Gospodyń Wiejskich realizuje projekt, w którego ramach zatrudnia zleceniobiorców, korzysta z wolontariuszy, kieruje przedsięwzięcia do małoletnich i dorosłych to musi posiadać obowiązki informacyjne co najmniej skierowane do:
- osób z którymi podejmuje współpracę w ramach umowy cywilnoprawnej,
- jeśli zleceniobiorca jest dopuszczony do pracy z dziećmi musi zostać sprawdzony w Rejestrze Sprawców Przestępstw na Tle Seksualnym – czyli mamy dodatkowy obowiązek informacyjny,
- wolontariuszy,
- opiekunów prawnych małoletnich będących beneficjentami działań – w rozbiciu na cele i podstawy prawne przetwarzania danych osobowych małoletnich i opiekunów prawnych,
- osób pełnoletnich będących beneficjentami działań.
Jak można się zorientować do jednego projektu trzeba mieć co najmniej pięć różnych obowiązków informacyjnych. Warto o tym pomyśleć, ponieważ dotujący może dokonać kontroli również w zakresie poprawności przetwarzania danych osobowych w projekcie.
Każda osoba, której Koło Gospodyń Wiejskich przetwarza dane osobowe, ma swoje prawa wynikające z przepisów. Jeśli dochodzi do łamania tych praw, na przykład Koło nie zrealizuje obowiązków informacyjnych wobec tych osób to może się narazić między innymi na karę ze strony Prezesa Urzędu Ochrony Danych Osobowych.
Szkolenia
Kolejnym podstawowym obowiązkiem Administratora jest podnoszenie świadomości i szkolenie osób, które przetwarzają dane osobowe w jego imieniu. W Kole Gospodyń Wiejskich przeszkoleni powinni być wszyscy członkowie i członkinie władz oraz wszyscy Ci, którzy przetwarzają dane osobowe np. wolontariusze, zleceniobiorcy. Szkolenia powinny być prowadzone cyklicznie co najmniej raz w roku wszyscy powinni odbywać szkolenia przypominające.
Udostępnianie, współadministrowanie i powierzanie danych osobowych
W Kole Gospodyń Wiejskich może dojść do sytuacji, w której będzie dochodziło do przekazywania danych osobowych do odrębnego Administratora Danych Osobowych – odrębnej organizacji. Może się to dziać przy realizacji wspólnego projektu, na żądanie jakiejś instytucji lub w ramach korzystania z jakiejś usługi. Za każdym razem kiedy Koło Gospodyń Wiejskiej zamierza udostępnić dane osobowe musi się upewnić czy ma do tego podstawę prawną i w jaką relację wchodzi z odrębnym Administratorem. Czy jest to udostępnianie na mocy przepisów prawa, współadministrowanie czy może powierzenie danych osobowych. Powierzenie jest obwarowane koniecznością zawarcia pisemnej umowy powierzenia. Od 27 czerwca 2021 r. obowiązuje decyzja Komisji Europejskiej w sprawie standardowych klauzul, jakie należy stosować przy tego typu umowach. Za każdym jednak razem należy precyzyjnie określić wszystkie jej składowe.
RODO takie (nie)straszne – postaw na Inspektora Ochrony Danych
Koła Gospodyń Wiejskich prowadzą bardzo dużo cennych działań skierowanych do społeczności lokalnej. To pożyteczna i potrzebna działalność ale jak skupiamy się tak mocno na merytorycznej części to często zapominamy o formalnościach, które są liczne jak zostało to przedstawione powyżej. Tutaj rozwiązaniem może być nawiązanie współpracy z zewnętrznym specjalistą, który zadba o te niechciane i zapomniane formalności. To trochę tak jak z prowadzeniem ksiąg rachunkowych. Można nauczyć się zasad i prowadzić to samodzielnie, można zatrudnić księgową na etacie lub skorzystać z usług biura rachunkowego. Liczy się to, że trzeba wypełnić obowiązki nałożone przez przepisy prawa powszechnie obowiązującego.
Koło Gospodyń Wiejskich może nie mieć środków na zatrudnienie etatowego Inspektora Ochrony Danych. Firma taka jak nasza, jest jedną z tych, która oferuje stałe wsparcie z zakresu ochrony danych osobowych co umożliwia znaczące oszczędności w porównaniu z zatrudnieniem pracownika. Ponadto akurat nasza firma od początku mocno wspiera sektor NGO i jest przygotowana na działania projektowe czy doraźne doradztwo.
Wizerunek
Warto poświęcić nieco uwagi wizerunkowi ponieważ w dobie powszechności mediów społecznościowych często dochodzi do przetwarzania wizerunku bez uzyskanej zgody co stanowi naruszenie.
W działalności każdego Koła dochodzi do przetwarzania wizerunku, zarówno członków Koła jak i osób biorących udział w jego działaniach. Promowanie statutowej działalności zachodzi zarówno na stronach internetowych, w lokalnych mediach jak i na portalach społecznościowych. Należy pamiętać, że generalnie wizerunek przetwarzany jest na podstawie zgody (art. 6 ust. 1 lit. a RODO). Oznacza to, że wykonując zdjęcia w trakcie różnych przedsięwzięć należy mieć zgodę osoby, której wizerunek chcemy utrwalić a następnie upowszechnić. Zgoda nie musi być udzielona na piśmie ale należy pamiętać, że w RODO jest zasada rozliczalności i to Administrator Danych Osobowych musi potrafić udowodnić, że taką zgodę posiadał dlatego warto zachować formę papierową lub elektroniczną.
W niektórych przypadkach można wykorzystać przesłankę z ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych i odstąpić od zebrania zgody od osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza. Należy jednak podchodzić do tej przesłanki ostrożnie ponieważ w przepisach prawa te pojęcia nie są zdefiniowane i znowu warto oprzeć się na doświadczeniu i wiedzy Inspektora Ochrony Danych żeby uniknąć ewentualnych roszczeń ze strony osób, których dane są przetwarzane.
Podsumowanie
Warto działać zgodnie z przepisami i zadbać o prawne bezpieczeństwo Koła Gospodyń Wiejskich. Do wykonania jest kilka kroków: audyt, przygotowanie dokumentacji, realizacja obowiązków informacyjnych, szkolenie kadry, która przetwarza dane osobowe, dbanie o aktualność dokumentów. Tak niewiele i aż tak dużo.
Justyna Sikorska – specjalista ds. ochrony danych osobowych w Eart Sp. z o.o.