Najważniejszym wskazanym dokumentem regulującym przetwarzanie danych osobo-wych jest Polityka Danych Osoboosobo-wych (PDO). Jest to wewnętrzny dokument o charakterze praktycznym, który ma wykazać, że przetwarzanie danych przez spółdzielnię jest zgodne z prawem. Nie powinien być upowszechniany publicznie np. na stronie internetowej lub po-zostawiony do wglądu dla kontrahentów lub współpracowników. PDO należy udostępnić jedynie procesorom, którym jest to niezbędne w związku z powierzeniem przetwarzania da-nych oraz podmiotom, które wykażą, że na mocy przepisów prawa są uprawnione do uzy-skania informacji o ochronie danych w spółdzielni np. kontrolerom UODO, NIK, organom ści-gania, sądom itp. Z PDO powinni być zaznajomieni wszyscy członkowie spółdzielni oraz ich pracownicy. Posiadanie tego strategicznego dokumentu pozwala uporządkować aktywa,
49
Dostosowanie funkcjonowania spółdzielni socjalnych do RODO
procesy i zagrożenia występujące w sytuacji przetwarzania danych osobowych. Zwiększa również świadomość tego, co dzieje się w organizacji, wzmacniając poczucie bezpieczeń-stwa i spokoju. Poza tym chroni instytucję w sytuacji incydentu lub kontroli. PDO według RODO powinna być zgodna z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design); zgodna z zasadą domyślnej ochrony danych (privacy by default), propor-cjonalna w stosunku do czynności przetwarzania danych oraz napisana jasnym i przejrzy-stym językiem. Załącznikami do PDO powinny być wzory następujących dokumentów:
1) klauzuli informacyjnej stosowanej w przypadku zbierania danych osobowych od osoby, której dotyczą;
2) klauzuli informacyjnej stosowanej w przypadku zbierania danych osobowych nie od osoby, której dotyczą;
3) klauzuli zgody;
4) upoważnienia do przetwarzania danych osobowych;
5) ewidencji osób upoważnionych do przetwarzania danych osobowych; 6) umowy powierzenia przetwarzania danych osobowych;
7) oceny skutków przetwarzania.
Polityka prywatności służy natomiast jako pomoc w zrozumieniu jakie dane zbiera organizacja i w jakim celu oraz do czego je wykorzystuje. Dokument ten najczęściej pub-likowany jest na stronie internetowej. Na podstawie tej polityki są tworzone klauzule zgód. Z uwagi na fakt, że większość spółdzielni przetwarza dane elektronicznie wska-zanym dla nich dokumentem jest instrukcja zarządzania systemem informatycznym. Należy w niej opisać w jaki sposób są chronione i jakim systemem zabezpieczone dane przechowywane na dyskach, serwerach i przenośnych nośnikach pamięci. Powinno się w niej uwzględnić m.in. rozliczane konta, politykę haseł oraz używane programy anty-wirusowe. Należy również zachowywać wewnętrzne procedury np. zamykanie szaf z ak-tami na klucz i tzw. politykę czystego biurka, ażeby nikt postronny nie miał możliwości wglądu do danych zawartych w pozostawionych dokumentach, a nawet ich powielenia. Posiadanie powyższej dokumentacji pozwoli się uchronić przed wysokimi sankcjami, które przewidziane są w rozporządzeniu. Zgodnie z art. 83 ust.1 RODO kary mają być skuteczne, proporcjonalne i odstraszające. Sprawia to, że sytuacja jest poważna i wyma-ga od przedsiębiorców dodatkowych działań i obowiązków w celu osiągnięcia zgodno-ści z przepisami prawa [Tikken-Piri, Rohunen, Markulla 2018]. Należy również pamiętać, że każda spółdzielnia w terminie co najmniej do końca stycznia danego roku kalenda-rzowego (lub każdorazowo w trakcie roku kalendakalenda-rzowego – jak dodawane (odejmo-wane) są kolejne kategorie przetwarzanych danych) powinna dokonywać identyfikacji zasobów przetwarzanych danych osobowych, kategorii danych, zależności między za-sobami danych, identyfikacji sposobów wykorzystania danych (inwentaryzacja), w tym:
50
Małgorzata Błażejowska
a) przypadków przetwarzania danych wrażliwych, b) przypadków przetwarzania danych osób, których spółdzielnia nie identyfikuje (dane niezidentyfikowane); c) współadmini-strowania danymi.
Podsumowanie
Wejście w życie RODO wymaga od spółdzielni socjalnych zupełnie nowego podejścia do ochrony danych osobowych. O ile na poziomie samych zasad i praw osób, których dane do-tyczą rozporządzenie nie wprowadza większych zmian, o tyle proponuje zupełnie odmien-ną filozofię ich wdrażania i weryfikowania. W miejsce ścisłych procedur pojawiają elastycz-ne i bardziej wymagające od administratora ciągłego zaangażowania procesy. W interesie osób, których dane dotyczą, ale i samej spółdzielni, jest wprowadzenie takich rozwiązań oraz gwarancji, aby można było wykazać, że działa ona zgodnie z wymaganymi procedu-rami. W związku z tym, na spółdzielniach socjalnych spoczywa duże wyzwanie, któremu muszą sprostać, mimo wielu ograniczeń wynikających z faktu prowadzenia przedsiębior-stwa społecznego w większości przez osoby zagrożone wykluczeniem społecznym, gdyż sankcje są wyjątkowo wysokie. Funkcje gwarancyjną będzie pełniła dokumentacja z zakre-su ochrony danych osobowych, która pozwoli administratorowi wykazać działanie zgodne z prawem. Samo RODO przewiduje tylko prowadzenie rejestrów czynności przetwarzania oraz dokumentowania naruszeń, ale praktyka pokazuje, że niezbędne są także inne proce-dury z zakresu ochrony danych. Każda spółdzielnia socjalna powinna dokonać analizy ryzy-ka oraz opracować Politykę Danych Osobowych wraz z załączniryzy-kami. Warto również posia-dać własną politykę prywatności oraz instrukcję zarządzania systemem informatycznym.
Bibliografia
Borocz I. (2016), Risk to the Right to the Protection of Personal Data: An Analysis Through the Lenses of Hermagoras, „European Data Protection Law Review”, vol. 4, ss. 467–480.
Goddard M. (2017), The EU General Data Protection Regullation (GDPR): European regulation that has a global impact, „International Journal of Market Research”, vol. 59, iss. 6, ss. 703–705. Kawa M., Grzybek M. (2018), Instytucjonalne formy wsparcia rozwoju spółdzielni socjalnych,
51
Dostosowanie funkcjonowania spółdzielni socjalnych do RODO
Kaźmierczak K., Litwiński P. (2017), Elementarz z zakresu danych osobowych [w:] D.
Dorre-Kola-sa (red.), Ochrona danych osobowych pracowników w świetle rozporządzenia Parlamentu
Europej-skiego i Rady (UE) 2016/679, C.H. Beck, ss. 1–33.
Kaczmarek A., Młotkiewicz M., Łapińska A. i in. (2018), Jak stosować podejście oparte na ryzyku? Poradnik RODO cz. 2, Wydawnictwo UODO, Warszawa.
Kolah A. (2018), The GDPR Handbook: A Guide to Implementing the EU General Data Protection Regulation, des. Kogan Page Limited, London, s. 6.
Opinia Grupy Roboczej Art.29, 3/2010 w sprawie zasady rozliczalności (WP 173) [online], http://
giodo.gov.pl/pl/1520057/3732, dostęp: 28.06.2018.
Piech M. (2016), „Deregulacyjna” nowelizacja i unijna reforma zasad ochrony danych osobowych z perspektywy administratora danych osobowych [w:] Polska i europejska reforma ochrony danych osobowych, Bielak-Jomaa E., Lubasz D. (red.), Wolters Kluwer, Warszawa, ss. 27–52.
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodne-go przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (2016), Dz. U. UE L 119. Rubinstein I., Petkova B. (2018), The International Impact of the General Data Protection Regu-lation [w:] M. Cole, F. Boehm, E. Elgar, Commentary on the General Data Protection ReguRegu-lation,
Forthcoming. Available at SSRN [online], www.ssrn.com/en/, dostęp: 28.06.2018.
Sakowska-Baryła M. (2018), Wdrażanie RODO w jednostce organizacyjnej – niezbędne obszary analizy , „Finanse Komunalne”, nr 5, ss. 46–59.
Sobczyk P. (2009), Ochrona danych osobowych jako element prawa do prywatności, „Zeszyty
Prawnicze UKSW”, nr 9 , ss. 299–318.
Szymielewicz K. (2017), Nowa filozofia w ochronie danych osobowych: od oceny ryzyka do spójnej strategii w organizacji, Fundacja Panoptykon, Warszawa, s. 30.
Tikken–Piri Ch., Rohunen A., Markulla J. (2018), EU General Data Protection Regulation:changes and implications for personal data collecting companies, „Computer Law & Security Review”,
Krzysztof Dziadek |
krzysztof.dziadek@tu.koszalin.plPolitechnika Koszalińska