Jak NGO zabezpiecza dane o alkoholizmie u kobiet zgodnie z RODO?

Dlaczego dane o alkoholizmie u kobiet są szczególnie wrażliwe?

To dane o zdrowiu, które mogą prowadzić do stygmatyzacji i szkód, dlatego RODO traktuje je jako szczególną kategorię.

Informacja, że konkretna osoba doświadcza uzależnienia, to dane o stanie zdrowia. W przypadku alkoholizm u kobiet dochodzą czynniki społeczne, rodzinne i zawodowe. Ujawnienie może skutkować dyskryminacją, utratą pracy albo naruszeniem bezpieczeństwa domowego. RODO wymaga podwyższonych podstaw prawnych, minimalizacji zakresu i silnych zabezpieczeń. NGO musi zakładać wysoki wpływ potencjalnego naruszenia na prawa i wolności osób.

Na jakiej podstawie prawnej NGO może przetwarzać takie dane?

Potrzebna jest podstawa z artykułu 6 i jednocześnie wyjątek z artykułu 9 RODO, najczęściej wyraźna zgoda albo świadczenie opieki zdrowotnej lub społecznej.

Najbezpieczniej oprzeć się na wyraźnej, dobrowolnej zgodzie osoby, która obejmuje dane szczególnych kategorii. Jeżeli organizacja świadczy zgodnie z prawem usługi zdrowotne lub społeczne i podlega tajemnicy zawodowej, może korzystać z wyjątku dotyczącego opieki zdrowotnej lub społecznej. W sytuacjach zagrożenia życia możliwe jest działanie w oparciu o ochronę żywotnych interesów. Przetwarzanie w ważnym interesie publicznym albo w obszarze zdrowia publicznego wymaga podstawy w prawie krajowym. Marketing i fundraising nie uzasadniają przetwarzania takich danych bez odrębnej zgody, a zgoda na pomoc nie równa się zgodzie na komunikację marketingową.

Jak przeprowadzić ocenę skutków dla ochrony danych (DPIA)?

DPIA jest tu co do zasady wymagana, bo chodzi o dane szczególne i osoby potencjalnie narażone, a jej wynik wyznacza środki ochrony.

Ocena skutków pozwala zmapować proces, ocenić ryzyko i zaplanować zabezpieczenia. Włącz Inspektora Ochrony Danych lub osobę odpowiedzialną za prywatność. Skonsultuj założenia z zespołem merytorycznym i, gdy to możliwe, z przedstawicielami osób wspieranych. Jeśli po wdrożeniu środków ryzyko pozostaje wysokie, rozważ konsultację z organem nadzorczym przed startem.

• Opisz cele, dane, systemy i odbiorców.
• Sprawdź niezbędność i proporcjonalność w stosunku do celu.
• Zidentyfikuj zagrożenia dla poufności, integralności i dostępności.
• Dobierz środki techniczne i organizacyjne, oceń ryzyko resztkowe.
• Udokumentuj ustalenia i przeglądaj je regularnie.

Jak ograniczyć zbierane informacje zgodnie z zasadą minimalizacji?

Zbieraj tylko to, co niezbędne do udzielenia pomocy i spełnienia obowiązków prawnych, a resztę ogranicz, zanonimizuj lub nie zapisuj.

Przed każdym formularzem odpowiedz na pytanie, po co te dane i czy da się zrealizować cel przy mniejszym zakresie. Rozdziel tożsamość od treści wrażliwych, gdy to możliwe. Stosuj pseudonimizację i krótkie, czytelne okresy przechowywania. Ogranicz pola otwarte, które skłaniają do nadmiernych opisów.

• Zazwyczaj wystarczy: imię lub identyfikator, dane kontaktowe, zakres wsparcia, krótka informacja o problemie i zgodach.
• Zazwyczaj nie pytaj: o szczegółową historię medyczną, sytuację finansową, dane bliskich, jeśli nie są niezbędne do udzielenia konkretnego wsparcia.
• Projektuj formularze z domyślnie wyłączonymi polami wrażliwymi. Wyjaśniaj, które pola są opcjonalne.

Jak technicznie zabezpieczyć dane: szyfrowanie, backup i logi?

Szyfruj dane w spoczynku i w tranzycie, kontroluj dostęp wieloskładnikowo, utrzymuj kopie zapasowe i prowadź wiarygodne logi.

Zadbaj o TLS dla formularzy i poczty, pełne szyfrowanie dysków urządzeń i baz danych oraz bezpieczne zarządzanie kluczami. Ogranicz dostęp zasadą najmniejszych uprawnień i wymuś wieloskładnikowe logowanie. Segmentuj sieć i separuj środowiska. Kopie zapasowe trzymaj w modelu trzy kopie, na dwóch nośnikach, jedna poza siedzibą. Regularnie testuj odtwarzanie. Włącz niezmienialne kopie dla danych krytycznych. Rejestruj dostęp, modyfikacje i eksporty, synchronizuj czas systemów, monitoruj anomalie i szybko łatkuj systemy.

• Szyfrowanie danych w bazie i plikach oraz TLS dla transmisji.
• Menedżer haseł, MFA, rotacja uprawnień.
• Backup z testem odtwarzania, kopie poza siedzibą.
• Centralne logi dostępu i alerty bezpieczeństwa.

Jak organizacyjnie zapewnić dostęp i odpowiedzialność pracowników?

Ustal role i uprawnienia, podpisz zobowiązania do poufności, szkol z praktycznych zasad i weryfikuj przestrzeganie procedur.

Przyznawaj dostęp tylko osobom, które faktycznie go potrzebują. Dokumentuj nadania i odbieranie uprawnień przy zmianie roli. Zapewnij bezpieczne warunki rozmów z osobami wspieranymi i ochronę dokumentów papierowych. Przeprowadzaj regularne szkolenia o rozpoznawaniu phishingu, pracy zdalnej i czystym biurze. Wprowadź zgłaszanie incydentów bez obawy o karę, żeby zespół reagował szybko.

• Macierz ról i uprawnień z cyklicznym przeglądem.
• Klauzule poufności i kodeks postępowania.
• Procedura rozpoczęcia, zmiany i zakończenia współpracy.
• Krótkie, powtarzalne szkolenia i testy wiedzy.

Jak zawierać umowy z podmiotami przetwarzającymi dane?

Z każdym dostawcą, który ma dostęp do danych, zawrzyj umowę powierzenia z wymaganiami RODO i prawem do audytu.

Umowa musi precyzować, że dostawca działa wyłącznie na udokumentowane polecenie. Wskaż zakres, czas, cel, rodzaje danych i kategorii osób. Wymagaj odpowiednich środków bezpieczeństwa, zgody na podpowierzenie i informacji o zmianach podwykonawców. Ustal zasady pomocy w realizacji praw osób, wsparcia przy incydentach, zwrotu lub usunięcia danych po zakończeniu usługi oraz udostępniania informacji o zgodności. Sprawdź lokalizację przetwarzania i podstawy transferu do państw trzecich.

• Instrukcje przetwarzania i poufność personelu.
• Środki techniczne i organizacyjne oraz testy ich skuteczności.
• Podwykonawcy za zgodą i przejrzystość zmian.
• Usunięcie lub zwrot danych oraz prawo do audytu.

Jak reagować na naruszenie danych i obowiązki powiadomienia?

Miej jasny plan wykrywania, ograniczania, oceny ryzyka i zgłaszania incydentów do organu i osób, jeśli to konieczne.

Zespół musi wiedzieć, co jest naruszeniem i jak szybko eskalować sprawę. Oceniaj, czy incydent stwarza ryzyko dla praw i wolności osób. Jeśli tak, zgłoś naruszenie do organu nadzorczego w ciągu 72 godzin od wykrycia. Jeśli ryzyko jest wysokie, poinformuj także osoby, których dane dotyczą, prostym językiem. Nawet incydenty niezgłoszone zarejestruj w wewnętrznej ewidencji.

• Zatrzymanie wycieku i zabezpieczenie dowodów.
• Analiza zakresu danych i możliwego wpływu.
• Zgłoszenie do organu i przygotowanie informacji dla osób.
• Działania naprawcze i przegląd przyczyn.

Jak dokumentować polityki i szkolenia, by wykazać zgodność?

Prowadź rejestry czynności, polityki bezpieczeństwa i dowody szkoleń, bo rozliczalność jest zasadą RODO.

Udokumentuj cele, podstawy, okresy retencji i odbiorców w rejestrze czynności. Przygotuj przejrzyste klauzule informacyjne i wzorce zgód. Zachowuj wyniki DPIA, oceny ryzyka, protokoły z testów kopii i odtwarzania. Prowadź rejestr naruszeń. Dokumentuj szkolenia i egzaminy wewnętrzne. Zaplanuj regularne przeglądy polityk i aktualizacje po zmianach procesów.

• Rejestr czynności przetwarzania i retencji danych.
• Polityka dostępu, incydentów i kopii zapasowych.
• Klauzule informacyjne i rejestr zgód.
• Protokoły ze szkoleń i przeglądów zgodności.

Co NGO może zrobić dziś, by zmniejszyć prawne i praktyczne ryzyko?

Zrób prosty przegląd procesów, ogranicz zakres danych i włącz podstawowe zabezpieczenia dostępowe i szyfrowanie.

• Sporządź inwentaryzację danych i przepływów, w tym formularzy i arkuszy.
• Usuń zbędne pola i wolne opisy. Dodaj pseudonimy zamiast pełnych danych, gdy to możliwe.
• Włącz szyfrowanie dysków i MFA dla poczty, chmury i CRM.
• Ustal krótkie okresy przechowywania i automatyczne usuwanie.
• Sprawdź dostawców. Podpisz brakujące umowy powierzenia.
• Wyznacz właściciela procesu RODO i termin DPIA dla obszaru uzależnień.
• Przećwicz scenariusz naruszenia na krótkiej symulacji z zespołem.
• Zaktualizuj klauzule informacyjne, aby jasno opisać cele, podstawy i prawa osób.