RODO

Stworzenie przez UODO w porozumieniu z organizacjami kodeksu postępowania w zakresie realizacji zadań publicznych

Opracowanie: Tomasz Schimanek

Data: 13-11-2023

Problem

Przepisy dotyczące ochrony danych osobowych są ogólne, podlegają różnym interpretacjom i budzą wątpliwości, jak je przełożyć na praktyczne działania, co utrudnia organizacjom pozarządowym ich stosowanie.

Kogo dotyczy?

  • Problem dotyczy wszystkich organizacji pozarządowych..

Rozwiązanie

Rozwiązaniem problemu byłoby opracowanie przez Urząd Ochrony Danych Osobowych wspólnie z organizacjami pozarządowymi kodeksu postępowania dotyczącego stosowania wymogów ochrony danych osobowych przez organizacje pozarządowe w zakresie realizacji zadań publicznych. Przy czym wydaje się, że kodeks powinien obejmować nie tylko zadania publiczne, ale wszystkie standardowe działania organizacji pozarządowych, niezależnie od źródeł finansowania, bo także podlegają one przepisom dotyczącym ochrony danych osobowych.

Opis

Podstawowym aktem prawnych określającym wymagania dotyczące ochrony danych osobowych jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie ujednolica postępowanie w zakresie ochrony danych osobowych we wszystkich krajach członkowskich Unii Europejskiej. W skrócie rozporządzenie jest określane jako RODO i ta nazwa jest powszechnie stosowana w Polsce.

Rozporządzenie stosuje się w Polsce bezpośrednio, ale ma ono charakter ogólny, stąd jego przełożenie na praktykę budzi pytania i wątpliwości. Uzupełnieniem RODO są polskie regulacje, które określają, w jaki sposób niektóre wymagania dotyczące ochrony danych osobowych mają być stosowane w polskim porządku prawnym. Chodzi przede wszystkim o ustawę o ochronie danych osobowych, ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO oraz ustawę o ochronie danych osobowych przetwarzanych w zw. z zapobieganiem i zwalczaniem przestępczości. Ustawy dotyczą przede wszystkim stosowania RODO przez instytucje publiczne, stąd pojawiające się, błędne przekonanie, że rozporządzenie unijne dotyczy tylko instytucji publicznych. Wymogi dotyczące RODO obejmują każdy podmiot, który przetwarza dane osobowe, w tym także każdą organizację pozarządową, niezależnie od źródła finansowania jej działalności. Organizacje niekiedy nie mają tej świadomości i zaczynają stosować wymogi dotyczące danych osobowych wtedy, gdy taki wymóg nakłada na nie umowa dotycząca realizacji zleconych jej zadań publicznych. Stąd być może w postulowanym rozwiązaniu znalazło się zawężenie kodeksu tylko do zlecanych zadań publicznych.

Brak wiedzy na temat RODO i jego ogólnikowość, powodują niekiedy, że wymagania dotyczące ochrony danych osobowych:

  • są stosowane bardziej restrykcyjnie niż tego wymagają przepisy, co stanowi dodatkowe, niepotrzebne obciążenie dla organizacji, jej partnerów, beneficjentów,
  • stosowane są niezgodnie z przepisami,
  • niestosowane są w ogóle.

Dodatkowe uwagi

Kodeks wymagałby okresowej aktualizacji w związku z nowym orzecznictwem dotyczącym stosowania RODO oraz ewentualnymi zmianami obowiązującego prawa.

Rezultat działania

Kodeks postępowania powinien wskazywać, jak w praktyce należy stosować RODO w działaniach podejmowanych przez organizacje pozarządowe. Przyczyniłoby się to do:

  • zwiększenia świadomości organizacji pozarządowych dotyczących stosowania RODO oraz wiedzy w tym zakresie,
  • ułatwienia stosowania w praktyce wymogów związanych z RODO,
  • zmniejszenia ryzyka stosowania rozwiązań niezgodnych z przepisami dotyczącymi ochrony danych osobowych.

Opracowanie kodeksu przez Urząd Ochrony Danych Osobowych gwarantowałoby zgodność zwartych w nim wskazówek z obowiązującym prawem i orzecznictwem dotyczącym jego stosowania, a współpraca organizacji pozarządowych zwiększałaby szanse na dostosowanie kodeksu do realnych potrzeb i możliwości organizacji. Opracowanie kodeksu przez UODO wpisuje się w pełni w jedno z podstawowych zadań Urzędu, jakim jest upowszechnianie w społeczeństwie wiedzy o ochronie danych osobowych, ryzyku oraz prawach związanych z ich przechowywaniem i przetwarzaniem.

Inspiracja

Zbliżone pod względem celu rozwiązanie zostało zastosowane w obszarze społecznych zamówień publicznych, w ramach którego można przy udzielaniu zamówień publicznych stosować przewidziane prawem klauzule społeczne, które m.in. ułatwiają dostęp do zamówień publicznych organizacjom pozarządowym i innym podmiotom ekonomii społecznej. Z uwagi na to, że klauzule nie są powszechnie znane, zarówno wśród zamawiających, jak i podmiotów ekonomii społecznej, opracowany został rodzaj informatora, który omawia nie tylko odpowiednie przepisy, ale wskazuje, jak je zastosować w praktyce. W tym przypadku informator został opracowany przez organizację pozarządową, ale jego treść została skonsultowana z Urzędem Zamówień Publicznych, a patronat nad informatorem objął Prezes Urzędu, co dodatkowo miał podkreślać, że treść informatora jest zgodna z obowiązującym prawem.

Zagrożenia

Rozwiązanie nie niesie za sobą zagrożeń.

Zabierz głos w dyskusji!

Jeżeli chcesz podyskutować o problemie i propozycji jego rozwiązania, skorzystaj z formularza.

Niech Twój głos będzie widoczny dla wszystkich!