Kodeks Dobrych Praktyk: publikujemy wersję po konsultacjach

Stowarzyszenia, fundacje i wiele innych podmiotów działających w III sektorze stoi przed wyzwaniem, jakim jest kompleksowa ochrona danych osobowych. Wychodząc naprzeciw tym potrzebom, przygotowaliśmy Kodeks Dobrych Praktyk. Publikujemy dziś wersję dokumentu po konsultacjach społecznych.

Konsultacje społeczne

Od 13 stycznia, a więc dnia opublikowania pierwszej wersji Kodeksu, otrzymaliśmy łącznie 61 uwag do tekstu.

Uwagi trafiały do nas w różnych formach – zarówno poprzez wypełnienie udostępnianych przez nas formularzy (papierowo lub cyfrowo), w oddzielnych dokumentach, ustnie podczas spotkań konsultacyjnych, czy prowadzonych przez nas webinarów, a także podczas spotkań z przedstawicielami instytucji państwowych. 

W toku konsultacji udział wzięli autorzy Kodeksu: dr Klaudia Gawlik – Bugańska, r. pr. Krystian Owczarek i r. pr. Dagmara Knaga, a także pełniący nadzór merytoryczny nad pracami dr Tymoteusz Zych, oraz koordynator projektu Karol Handzel.

Jakie są zalety Kodeksu?

• Stosowanie Kodeksu postępowania stanowi okoliczność potwierdzającą wywiązywanie się z obowiązków nałożonych przez RODO na administratorów danych, w tym na organizacje pozarządowe;
• Kodeks służy realizacji zasady rozliczalności, gdyż pozwala na wykazanie, że organizacja pozarządowa stosuje odpowiedni poziom bezpieczeństwa i daje wystarczające gwarancje wdrożenia odpowiednich środków bezpieczeństwa danych osobowych;
• Stosowanie Kodeksu ułatwia przeprowadzenie analizy ryzyka przetwarzania i oceny skutków dla ochrony danych;
• Stosowanie Kodeksu podnosi poziom świadomości ochrony danych, zwiększają kontrolę osób, których dane dotyczą, nad przetwarzaniem ich danych, obniża liczbę skarg przez co buduje zaufanie do organizacji pozarządowych w związku z przetwarzaniem przez nie danych osobowych;
• Praca nad Kodeksem daje okazję organizacjom pozarządowym do aktywnego uczestnictwa w procesie wdrażania zasad określonych w RODO;
• Stosowanie Kodeksu stanowi okoliczność uniewinniającą lub łagodzącą przy karaniu przez organ nadzorczy; jednocześnie w przepisach Kodeksu nie przewiduje się konsekwencji w postaci kar za niewdrożenie postanowień Kodeksu i zaniechanie ich stosowania w swojej działalności.

Jakie są cele kodeksu?

• Zdefiniowanie zbioru wartości, zasad i wskazówek jak wdrożyć odpowiednie środki oraz jak wykazać przestrzeganie prawa przez organizacje pozarządowe, w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko;
• Doprecyzowanie zastosowania RODO w sektorze organizacji pozarządowych oraz wskazanie najlepszych praktyk w zakresie przetwarzania danych osobowych zgodnie z przepisami prawa i zasadami etyki, w szczególności w odniesieniu do rzetelnego i przejrzystego przetwarzania, prawnie uzasadnionych, interesów realizowanych przez organizacje pozarządowe w określonych kontekstach, zbierania danych osobowych, informowania opinii publicznej i osób, których dane dotyczą, wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
• Dopasowanie obowiązków administratorów i podmiotów przetwarzających w sektorze organizacji pozarządowych do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie danych osobowych;
  zapewnienie adekwatnego poziomu ochrony osób, które przekazały swoje dane osobowe organizacjom pozarządowym w związku z przetwarzaniem ich danych osobowych;
• Ułatwienie skutecznego stosowania RODO, z uwzględnieniem szczególnych cech przetwarzania prowadzonego w sektorze organizacji pozarządowych;
  zwiększenie poziomu wiedzy członków organizacji pozarządowych w zakresie ochrony danych osobowych;
• Budowa dobrego wizerunku organizacji pozarządowych oraz zaufania pomiędzy organizacjami pozarządowymi a ich beneficjantami, kontrahentami, darczyńcami a także innymi interesariuszami organizacji pozarządowych.

Jakie działania podjęliśmy do tej pory?

W ramach pierwszego, wstępnego etapu konsultacji stworzyliśmy ankietę składającą się z trzech części: pytań ogólnych na temat organizacji, pytań dotyczących zbierania danych osobowych, oraz pytań dotyczących środków bezpieczeństwa w organizacji.

Ankieta została udostępniona na stworzonej z myślą o projekcie stronie internetowej rodo.konfederacjaipr.pl oraz rozesłana w formie mailowej do 42 tysięcy organizacji pozarządowych a także w formie papierowej do 120 organizacji, w tym zarówno związków stowarzyszeń, jak i organizacji z małych miejscowości, czy zrzeszających osoby starsze, rzadziej komunikujące się za pomocą internetu. 

Ponadto odbyliśmy w ramach konsultacji spotkania w Ministerstwie Inwestycji i Rozwoju, Departamencie Społeczeństwa Obywatelskiego w Kancelarii Prezesa Rady Ministrów, Narodowym Instytucie Wolności – Centrum Rozwoju Społeczeństwa Obywatelskiego, czy wreszcie spotkanie wstępne w Urzędzie Ochrony Danych Osobowych. Spotkania miały na celu omówienie przyszłej współpracy oraz uzyskanie informacji co do potencjalnych tematów które powinny zostać poruszone w treści Kodeksu. 

Kolejnym etapem konsultacji, już po opublikowaniu pierwszej wersji Kodeksu, było udostępnienie formularza do zgłaszania uwag, zarówno w formie formularza interaktywnego, jak i w postaci plików do wypełnienia. Formularz został opublikowany na stronie internetowej projektu, rozesłany do 42 tysięcy organizacji pozarządowych, był on także udostępniany podczas szkoleń z tematyki RODO. W połowie lutego w Warszawie odbyło się spotkanie konsultacyjne dla zainteresowanych organizacji pozarządowych. Tekst Kodeksu wraz z formularzem konsultacji trafił również do kilkunastu organizacji pozarządowych zajmujących się tematyką ochrony danych osobowych oraz do wszystkich organizacji członkowskich Konfederacji Inicjatyw Pozarządowych Rzeczypospolitej.

Co poza Kodeksem?

Poza Kodeksem przygotowany został ePoradnik dotyczący RODO w organizacjach. Poradnik dzięki przejrzystemu układowi, prostemu językowi i obecności wzorów pism będzie stanowił dużą pomoc dla organizacji pozarządowych we wdrażaniu i utrzymywaniu ochrony danych osobowych.

ePoradnikiem mogą być zainteresowane organizacje pozarządowe w szczególności: fundacje, stowarzyszenia, organizacje młodzieżowe, organizacje z obszarów wiejskich i małych miejscowości, organizacje eksperckie typu think-tank, organizacje seniorów, organizacje osób niepełnosprawnych, organizacje mniejszości narodowych i etnicznych a także pozostałe NGO’sy działające na obszarze Polski.

Wiedza zawarta w tym kompendium porusza w sposób przystępny oraz zrozumiały podstawy problematyki związanej ze stosowaniem przepisów oraz wdrażaniem procedur gwarantujących bezpieczne przetwarzanie danych w związku z wykonywaniem przez organizacje pozarządowe zadań publicznych. ePoradnik ukazał się zarówno w postaci papierowej, jak i cyfrowej. 

Ponadto KIPR prowadzi szkolenia dotyczące tematyki związanej  z ochroną danych osobowych. Szkolenia będą uwzględniają zajęcia wykładowe, szkoleniowe, część seminaryjną oraz element networkingowy. Uczestnicy szkoleń mogą uzyskać wiedzę na temat funkcjonowania RODO, wyjaśnić swoje wątpliwości dotyczące jego stosowania, a także wzbogacić się o bezpłatny, papierowy egzemplarz ePoradnika, który pomoże im w ich dalszych działaniach związanych z ochroną danych. Do tej pory zostały odbyte szkolenia w Grudziądzu, Włocławku, Poznaniu oraz Kaliszu.

Co dalej?

Kolejnym etapem jest przygotowanie wniosku do Prezesa Urzędu Ochrony Danych Osobowych, dokonującego zatwierdzenia Kodeksu. Poza samą treścią Kodeksu, wniosek będzie zawierał podsumowanie przeprowadzonych konsultacji wraz z ich rezultatem.