Praktycznie każda NGO zbiera dane osobowe. W konsekwencji – od roku 2018 – powinna zaimplementować zasady RODO oraz płynące z niego obowiązki. Pamiętajmy o najważniejszych zaleceniach dotyczących ochrony danych osobowych według RODO w organizacji pozarządowej.

Zasady RODO obowiązują od dnia 25 maja 2018. W najbardziej ogólnym ich zarysie postępowanie z danymi osobowymi powinno być oparte na szacowaniu ryzyka. Oznacza to, że każda organizacja pozarządowa powinna samodzielnie opracować własne procedury ochrony danych w odniesieniu do swoich specyficznych potrzeb w tej materii. Kroki podejmowane przez organizację w ramach RODO powinny być uzależnione od tego, jakiego rodzaju dane są w organizacji przechowywane, a także, w jaki sposób są one przechowywane. Należy także wciąć pod uwagę ryzyko utraty danych oraz konsekwencje takiej utraty dla osób, których dane dotyczą. Stąd też specyfika danej organizacji decyduje o kształcie zasad ochrony danych, jakie powinna ona zaimplementować. Pamiętając o tym, organizacja powinna być w stanie dowieść, że wywiązuje się z rygorów zasad przetwarzani danych w zadowalający sposób.

RODO wprowadza pojęcie administratora danych oraz podmiotu przetwarzającego dane. Administrator danych to podmiot decydujący o zbieraniu danych (zazwyczaj jest to organizacja jako całość). Podmiot przetwarzający dane (procesor) przetwarza dane w imieniu administratora.

Praktycznie każda organizacja zmuszona jest do przetwarzania danych swoich: członków, pracowników, wolontariuszy, darczyńców, użytkowników serwisu internetowego, odbiorców newsletterów, klientów, beneficjentów, stypendystów, uczestników szkoleń itp.

Podstawowe zasady przetwarzania danych osobowych według RODO:

  1. Przejrzystość, rzetelność, zgodność z prawem – sposób przetwarzania danych powinien być zarówno zgodny z zasadami prawa, jak i jasny oraz czytelny dla osób, których dane są przetwarzane
  2. Ograniczone cele – przetwarzanie danych jedynie w konkretnych, odpowiednio uzasadnionych celach.
  3. Niezbędność, adekwatność, minimalizacja – przetwarzanie tylko takich danych, które są niezbędne ze względu na ustalone cele.
  4. Prawidłowość przetwarzanych dany oraz ich korekta, jeśli zaistnieje taka konieczność.
  5. Określony maksymalny czas przetwarzania danych.
  6. Zachowanie poufności – dbałość o odpowiednie zabezpieczenie danych.
  7. Weryfikowalność – zdolność do wykazania prawidłowości przetwarzania danych osobowych w organizacji

Wszystkie zasady RODO muszą zostać uwzględnione już na etapie projektowania usług, co w przypadku NGO oznacza zazwyczaj ich uwzględnienie w fazie pisania projektu.