Ludzie kojarzą RODO z tym, że na przykład nie wolno wypowiedzieć głośno czyjegoś nazwiska. W praktyce wygląda to tak, że na szczepienie wywołano mnie hasłem „Karolina K”. Kołom gospodyń jako organizacjom RODO pewnie nawet się nie przyśniło?
– Tu, moim zdaniem, wychodzi nadgorliwość w zasadzie minimalizacji. W przychodni wywołano cię skrótowo, zachowując poufność twojego nazwiska. Ale gdy pójdziesz do lekarza, wyczytają twój numerek, to gdy wejdziesz, na biurku leżą wszystkie karty pacjentów i możesz sobie przeczytać ich dane. Najczęściej kiedy bierzemy jakieś świadczenia, podpisujemy zgodę na przetwarzanie naszych danych osobowych, która spisana jest tymi maleńkimi literami. Kołom się RODO nie przyśniło, bo nie miały najmniejszego pojęcia o tym, że te przepisy ich także dotyczą. Nikt ani słowem nie poinformował ich w 2018 roku, że z chwilą założenia na wsi organizacji, do której będą należeć ludzie, i która będzie współpracować z innymi ludźmi, muszą poznać i stosować przepisy o przetwarzaniu danych osobowych.
r e k l a m a
Z jakiego powodu kołu czy innej organizacji działającej na wsi może być potrzebne RODO?
– Każda organizacja pozarządowa musi stosować się do tych przepisów. Już choćby z powodu tego, że ma członków, że członkowie zapisują się do organizacji. To już jest przetwarzanie danych osobowych, ponieważ zbieramy ich dane, a potem je przechowujemy. Wystarczy, że przechowujemy same zgody członkowskie. Kolejny problem z RODO, który każdej takiej organizacji dotyczy, to zbieranie składek członkowskich. Przecież jeśli ktoś nie zapłaci, dostaje potem jakieś upomnienia. Te dane idą do księgowych, do rejestrów kasowych. Większość kół ma założone konta e-mailowe. Przewodniczące i członkinie korzystają w komunikacji z prywatnego maila. Powiedzmy, że przewodnicząca pisze ze swojego prywatnego adresu mail do instytucji i zawiera w nim dane innych członkiń. A potem przestaje być przewodniczącą. Ale jej prywatna skrzynka nadal zawiera informacje dotyczące innych osób. Co wtedy? To niebezpieczne sytuacje, gdyby okazało się, że dane gdzieś wyciekły, a ona nie miała zgód na przetwarzanie danych osobowych. Jeżeli nawet zawini instytucja czy firma, taki na przykład Google – wiele kół ma konta na Gmailu – to jeśli przewodnicząca nie miała zgód czy podpisanej umowy powierzenia przetwarzania danych, może mieć olbrzymi problem prawny i finansowy. Żadne ze znanych mi kół nie miało pojęcia o tych przepisach i swoich obowiązkach. O skali odpowiedzialności mogą coś powiedzieć kary za nieprzestrzeganie wymogów RODO. Górna granica kary finansowej to 20 mln euro. To, oczywiście, kary nakładane najczęściej na korporacje, ale kwota jest wymowna.
Od czego powinno zacząć koło, sporządzając dokumentację?
– Trzeba przeprowadzić pogłębioną analizę: co będziemy przetwarzać, w jakich celach, jak dane będą przesyłane czy gromadzone, jakie są zagrożenia, co może się wydarzyć z tymi danymi?
r e k l a m a
A co takiego mogłoby się stać? Przewodnicząca po prostu ma na mailu imiona i nazwiska. Trzyma je w domu w swoim komputerze albo w teczce. Co tu złego może się wydarzyć?
– Ot, choćby taka sytuacja. Zarejestrowałyśmy koło gospodyń. Mamy listę członkiń, z PESEL-ami, miejscami zamieszkania. Zrobiłyśmy ksero, żeby sobie zostawić w swoich dokumentach. Poszłyśmy do Agencji, złożyłyśmy wniosek, wracamy i nagle „Ojej, gdzie jest kopia?”. Może gdzieś wypadła, zwiał ją wiatr. Może ktoś podniósł i sobie wziął. Takie rzeczy się zdarzają przecież. Ale były tam czyjeś dane. Jeśli kartka zniknie, nikt jej nie znajdzie, to możemy mówić o szczęściu w nieszczęściu, ale jednak nie mamy pewności, czy ktoś nie wykorzysta tych danych. Ale jeśli ktoś ją znajdzie i zgłosi to do Urzędu Ochrony Danych Osobowych, to może być z tego wielki problem. Może urząd da naganę, upomnienie. Ale może nałożyć karę finansową. Nie chciałabym sobie wyobrażać kwoty, ale nie byłaby to z pewnością wysokość mandatu. Taka przewodnicząca jest jednak chroniona, jeśli miała wcześniej od członków zgody na przetwarzanie danych osobowych i prowadziła dokumentację. Wtedy wpisuje wydarzenie do tzw. rejestru naruszeń i informuje Urząd Ochrony Danych Osobowych.
Trzeba się spotkać i sporządzić dokument, który to wszystko przewiduje?
– Tak. I dobrze jest to zrobić z prawnikiem. Bo większość gospodyń nie będzie wiedziała, jak się do tego zabrać. Wytyczne do tego można znaleźć na stronie ngo.pl. My w Klusku sporządziliśmy dokumentację w porozumieniu z prawnikiem. Na Facebooku było tak duże zainteresowanie, że rozesłałam ją w ciągu kilku godzin osiemdziesięciu kołom. Dokumentacja musi przewidywać, w jakich sytuacjach wykorzystujemy dane. Przecież koła piszą projekty, zatrudniają specjalistów, wolontariuszy, współpracują z okolicznymi firmami. I przetwarzają ich dane. Bo wyjaśnijmy, co znaczy przetwarzać. Większość ludzi sądzi, że to robienie czegoś szczególnego z danymi. Tymczasem posiadanie w swojej skrzynce maila z nazwiskiem osoby, jej datą urodzenia czy też kwotą, którą mamy jej zapłacić za wykonanie czegoś, jest już przetwarzaniem. Dlatego od każdej z tych osób koło musi mieć zgodę na przetwarzanie danych osobowych. Musimy ustalić, jak dane będą przechowywane, jak będą przepływać, kto może je zobaczyć, kto będzie ich odbiorcą, w jakim celu je zbieramy. Warto oszczędzić sobie nerwów i zadbać o taką dokumentację. Jeśli nawet coś się wydarzy – dane wyciekną, coś zaginie – koło czy organizacja mogą mieć spokojniejszą głowę.