Informacja na temat działań związanych z RODO
Niniejsza informacja ma na celu przedstawienie działań, które należy podjąć celem dostosowania się do przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO, Rozporządzenie). Należy pamiętać, iż RODO dotyczy również organizacji związkowych.
Niezmiernie trudno jest wskazać gotowy wzór systemu ochrony dla każdej organizacji związkowej, gdyż RODO nie zawiera konkretnych procedur czy wytycznych. Rozporządzenie ogólnie wskazuje, iż postępowanie z danymi osobowymi oparte jest na oszacowaniu ryzyka i dopiero w zależności od wyników oceny może być wprowadzony stosowny tryb postępowania, a także dobrane odpowiednie środki ochrony danych osobowych. Przedstawiciele Ministerstwa Cyfryzacji zapewniają jednak, iż w najbliższej przyszłości będą pojawiały się tzw. dobre praktyki, wskazujące rekomendowane sposoby zabezpieczania danych w każdym sektorze.
Niemniej warto poznać schematy działania, które całościowo lub w wybranym zakresie mogą być wykorzystane w celu zapewnienia prawidłowej ochrony danych osobowych, przetwarzanych przez organizację związkową.
W związku z wejściem RODO do polskiego porządku prawnego należy pamiętać o konieczności następujących działań:
1. dokonać przeglądu posiadanych danych osobowych pod kątem ich przejrzystości, rzetelności, a także adekwatności (niezbędności). Oznacza to w szczególności, że związek zawodowy powinien posiadać jedynie te dane, które są niezbędne dla ustalonych celów przetwarzania (przede wszystkim dla wykonywania celów i zadań statutowych). W tym przypadku obowiązuje bowiem zasada: im mniej danych tym mniej obowiązków dla organizacji związkowej.
Pamiętać należy o czasie przechowywania danych osobowych, którego upływ powinien oznaczać konieczność usunięcia stosownych danych osobowych (np. w momencie wygaśnięcia członkostwa w związku zawodowym).
2. dokonać przeglądu aktualnego procesu przetwarzania danych osobowych w organizacji związkowej: jak wygląda ich zbieranie, gdzie są zapisywane i w jaki sposób są przechowywane, kto ma do nich wgląd, komu są przekazywane i udostępniane oraz w jaki sposób.
3. wprowadzić odpowiedni system zabezpieczenia danych osobowych, które są w dyspozycji związku zawodowego. Należy zatem zadbać o właściwą ochronę techniczną oraz organizacyjną. W skład takiej ochrony wchodzi m.in.:
· odpowiednie zabezpieczenie pomieszczenia, w którym przechowywane są dane osobowe,
· wykorzystanie zamykanych szafek do zabezpieczenia dokumentów zawierających dane osobowe,
· stosowanie zasady tzw. czystego biurka, a więc nie pozostawianie żadnych dokumentów z danymi osobowymi podczas nieobecności upoważnionej osoby,
· wykorzystanie niszczarki do usuwania dokumentów zawierających dane osobowe,
· ochrona sprzętu komputerowego (zapory, antywirusy, itp.),
· zabezpieczenie dostępu do urządzeń elektronicznych za pomocą odpowiednio „mocnego” hasła,
· stosowanie wygaszaczy ekranowych na stanowiskach, na których przetwarzane są dane osobowe.
4. zweryfikować i maksymalnie ograniczyć liczbę osób mających dostęp do danych osobowych.
Osoby, które taki dostęp mają powinny posiadać stosowne pisemne upoważnienie administratora do przetwarzania danych osobowych w zakresie w nim wskazanym.
5. stworzyć politykę bezpieczeństwa.
Po przeprowadzeniu analizy ryzyka, a więc po przeglądzie niebezpieczeństw i zagrożeń dla przetwarzanych danych osobowych, do wyników tej oceny powinien być dostosowany tryb postępowania i wybór odpowiednich środków zaradczych.
Generalnie celem polityki bezpieczeństwa jest uzyskanie optymalnej ochrony danych osobowych poprzez stworzenie reguł i zasad postępowania oraz wskazanie działań jakie należy podjąć, aby poprawnie je zabezpieczyć.
Polityka bezpieczeństwa dotyczy całościowego problemu zabezpieczenia danych osobowych, a więc odnosi się do danych które są przetwarzane tradycyjnie, jak również do danych przetwarzanych w systemach informatycznych (w praktyce zdarza się, iż do użytkowników systemów informatycznych kierowany jest dodatkowy dokument pod nazwą „Instrukcja zarządzania systemem informatycznym”).
W polityce bezpieczeństwa powinny znaleźć się m.in.:
· środki ochrony – techniczne i organizacyjne,
· prawa i obowiązki administratora oraz osób przetwarzających dane osobowe,
· tryb postępowania przy przetwarzaniu danych osobowych, a także
· inne zasady i procedury związane z ochroną danych osobowych.
6. opracować i udostępnić odbiorcom klauzulę informacyjną (komunikat dotyczący przetwarzania danych osobowych). Klauzula ta powinna być umieszczona w pierwszej kolejności na stronie internetowej organizacji związkowej.
W klauzuli należy wskazać w szczególności: kto przetwarza dane osobowe i jego dane adresowe, cel przetwarzania, okres przechowywania danych osobowych, a także przysługujące danej osobie prawach, w tym prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, a także prawie do wniesienia skargi do organu nadzorczego.
Klauzula powinna być napisana językiem zwięzłym, jasnym i łatwym do zrozumienia.
7. jeżeli organizacja związkowa tak zadecyduje, to może powołać inspektora ochrony danych osobowych (IODO), a więc osoby, która będzie nadzorowała i czuwała nad prawidłowością procesu przetwarzania danych osobowych w organizacji (uwaga: nie jest to jednak obowiązkowe).
Wydaje się, że IODO może być pomocny w większych związkach zawodowych, które zatrudniają i zrzeszają wielu pracowników oraz przetwarzają dużą ilość danych osobowych.
8. ponadto należy posiadać zgodę na przetwarzanie danych osobowych od każdej osoby, wchodzącej w skład organizacji związkowej oraz od innych osób, korzystających z pomocy związkowej. Stosowne klauzule powinny zatem znajdować się m.in. w deklaracjach członkowskich.
Wydział prawno-interwencyjny OPZZ