Aktualności

Odnosząc się do uwag przedstawionych przez Fundację Panoptykon do projektu Kodeksu postępowania w zakresie przetwarzania danych osobowych w organizacjach społecznych w artykule pt. „RODO na skróty – projekt kodeksu dla organizacji” opublikowanym na stronie internetowej pod adresem: https://panoptykon.org/rodo-kodeks-dla-ngo z dnia 4.03.2020 r., przedstawiamy nasze stanowisko.

Przede wszystkim zwracamy uwagę, że jest to pierwsza wersja projektu kodeksu postępowania dla organizacji pozarządowych. Projekt jest wciąż otwarty na modyfikacje w ramach trwających konsultacji społecznych, w tym w szczególności najbardziej zainteresowanych organizacji pozarządowych, takich jak Panoptykon, a także organy administracji publicznej, pracowników organizacji i innych interesariuszy.

W pełni zgadzamy się z tym, że sektor NGO jest bardzo zróżnicowany nie tylko pod względem wielkości organizacji, ale również odmiennych przedmiotów ich działalności. Także wiedza z zakresu ochrony danych osobowych, jak wynika z przeprowadzonych przez nas ankiet, jest na poziomie średnim czy nawet niskim, co tym bardziej utwierdziło nas w przekonaniu, że kodeks postępowania dla NGO jest wręcz niezbędny. Wyniki przeprowadzonej wśród organizacji pozarządowych ankiety wykazały, że ponad połowa organizacji nie prowadzi obowiązkowego rejestru czynności przetwarzania. Stanowiło to dla nas punkt wyjścia, aby oprzeć konstrukcję projektu kodeksu na czynnościach przetwarzania. W projekcie kodeksu opisaliśmy poszczególne czynności, określając je jako typowe, tj. charakterystyczne, najczęściej występujące w praktyce czynności przetwarzania w NGO.
W ramach poszczególnych czynności przetwarzania dla każdej z nich opisaliśmy obligatoryjne elementy rejestru (m.in. podstawy prawne, opis kategorii osób, kategorie danych osobowych, cel przetwarzania, okres przetwarzania). Dodatkowo, każda czynność jest uzupełniona o problematykę pn. „Zagadnienia szczegółowe” z nią związaną, opartą na wynikach ankiet, dostrzeżonych problemach branży NGO w ramach prowadzonych audytów, wyjaśnieniach publikowanych przez UODO.

Tym samym przyświecał nam przede wszystkim praktyczny cel, aby każda organizacja na tej podstawie mogła skonstruować obowiązkowy rejestr czynności przetwarzania, z zastrzeżeniem, że opisane przez nas typowe czynności przetwarzania nie mają charakteru katalogu zamkniętego a każda organizacja powinna dostosować rejestr do własnej działalności. Typowe czynności wyszczególnione przez nas w projekcie kodeksu dotyczą niemal każdej organizacji pozarządowej (np. darczyńca w fundacji albo beneficjent czy też członkowie i byli członkowie organizacji).

Jesteśmy oczywiście otwarci – w ramach trwających konsultacji społecznych – na wszelkie uzupełnienia typowych czynności przetwarzania (a nawet nietypowych czynności, jeśli wiąże się z nimi konieczność rozstrzygnięcia zagadnień istotnych dla NGO).

W świetle powyższego, bezzasadny jest zarzut o niekompletności projektu kodeksu sformułowany przez Panoptykon. Projekt jest bowiem w fazie konsultacji społecznych, które przede wszystkim mają na celu jego uzupełnienie, korektę czy też zwrócenie uwagi na dodatkową problematykę ważną dla NGO. Zaproponowany w projekcie kodeksu wykaz środków bezpieczeństwa o charakterze fizycznym, organizacyjnym i prawnym został podany przykładowo, z zastrzeżeniem, że każda organizacja powinna dostosować zabezpieczenia do zakresu i rodzaju danych osobowych.

Artykuł 40 ust. 2 rozporządzenia unijnego RODO, który reguluje zagadnienia kodeksu postępowania wymienia przykładowe obszary, które mogą być przedmiotem kodeksu postępowania. Ustawodawca unijny nie narzuca rozbudowania kodeksu o jakąś konkretną część, np. o środki zapewniające bezpieczeństwo przetwarzania danych. Tym samym, w ramach danego sektora, dla którego tworzy się kodeks, istotne mogą być różne  obszary, które wymagają rozbudowania i wnikliwego doprecyzowania w stosunku do przepisów o ochronie danych. Środki zapewniające bezpieczeństwo dotyczą wszystkich sektorów, nie są odmiennością dla branży NGO. W naszej ocenie nie będą znacząco odmienne w stosunku do innych branż. Wiele organizacji jest małymi podmiotami, dla których podstawowym zabezpieczeniem jest szafa zamykana na klucz. Podobnie wyznaczenie Inspektora Ochrony Danych Osobowych, który jest jednym z przykładowych zabezpieczeń, nieobligatoryjnych. Wskazany zaś w projektach klauzul informacyjnych kontakt z Inspektorem Danych Osobowych podany został również przykładowo i tylko złej woli trzeba było, aby zinterpretować zapisy kodeksu w ten sposób, że powołanie Inspektora jest obowiązkowe. Zatem, nieprawdziwe w artykule Panoptykonu pozostaje stwierdzenie, że: „Autorzy projektu twierdzą np. że powołanie Inspektora Ochrony Danych Osobowych jest obowiązkowe.” Panoptykon nie usunął nieprawdziwych twierdzeń z treści artykułu, mimo zwrócenia im na to uwagi za pośrednictwem mediów społecznościowych.

Nadto, za nieporozumienie należy uznać zachętę Panoptykon do korzystania przez organizacje z internetowych poradników, gdyż ich cel jest odmienny od kodeksu postępowania.

Należy mieć na uwadze, że zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych kodeks będzie stanowił okoliczność łagodzącą przy ewentualnym karaniu organizacji pozarządowych za naruszenie przepisów o ochronie danych osobowych.

Zachęcamy do aktywnego udziału w konsultacjach społecznych i przedstawiania konstruktywnych propozycji do projektu kodeksu. Uważamy bowiem, że organizacje pozarządowe mają niepowtarzalną szansę na stworzenie regulacji wspólnych dla całego sektora NGO.