Praktycznie każda NGO zbiera dane osobowe. W konsekwencji - od roku 2018 - powinna zaimplementować zasady RODO oraz płynące z niego obowiązki. Pamiętajmy o najważniejszych zaleceniach dotyczących ochrony danych osobowych według RODO w organizacji pozarządowej.
Zasady RODO obowiązują od dnia 25 maja 2018. W najbardziej ogólnym ich zarysie postępowanie z danymi osobowymi powinno być oparte na szacowaniu ryzyka. Oznacza to, że każda organizacja pozarządowa powinna samodzielnie opracować własne procedury ochrony danych w odniesieniu do swoich specyficznych potrzeb w tej materii. Kroki podejmowane przez organizację w ramach RODO powinny być uzależnione od tego, jakiego rodzaju dane są w organizacji przechowywane, a także, w jaki sposób są one przechowywane. Należy także wciąć pod uwagę ryzyko utraty danych oraz konsekwencje takiej utraty dla osób, których dane dotyczą. Stąd też specyfika danej organizacji decyduje o kształcie zasad ochrony danych, jakie powinna ona zaimplementować. Pamiętając o tym, organizacja powinna być w stanie dowieść, że wywiązuje się z rygorów zasad przetwarzani danych w zadowalający sposób.
RODO wprowadza pojęcie administratora danych oraz podmiotu przetwarzającego dane. Administrator danych to podmiot decydujący o zbieraniu danych (zazwyczaj jest to organizacja jako całość). Podmiot przetwarzający dane (procesor) przetwarza dane w imieniu administratora.
Podstawowe zasady przetwarzania danych osobowych według RODO:
- Przejrzystość, rzetelność, zgodność z prawem - sposób przetwarzania danych powinien być zarówno zgodny z zasadami prawa, jak i jasny oraz czytelny dla osób, których dane są przetwarzane.
- Ograniczone cele - przetwarzanie danych jedynie w konkretnych, odpowiednio uzasadnionych celach.
- Niezbędność, adekwatność, minimalizacja - przetwarzanie tylko takich danych, które są niezbędne ze względu na ustalone cele.
- Prawidłowość przetwarzanych dany oraz ich korekta, jeśli zaistnieje taka konieczność.
- Określony maksymalny czas przetwarzania danych.
- Zachowanie poufności - dbałość o odpowiednie zabezpieczenie danych.
- Weryfikowalność - zdolność do wykazania prawidłowości przetwarzania danych osobowych w organizacji.
- Wszystkie zasady RODO muszą zostać uwzględnione już na etapie projektowania usług, co w przypadku NGO oznacza zazwyczaj ich uwzględnienie w fazie pisania projektu.