Na jakiej podstawie OPS przetwarza dane wolontariuszy w akcji „Wspieraj Seniora”?

Czy prawidłowe jest przyjęcie przez ośrodek pomocy społecznej (OPS), że przetwarzanie danych osobowych wolontariuszy biorących udział w akcji „Wspieraj Seniora” następuje na podstawie zgody? Czy nie jest właściwszym zawarcie umowy z wolontariuszem zgłaszającym się do OPS i wtedy wybranie art. 6 ust. 1 lit. b RODO jako przesłanki legalizującej przetwarzanie?

Zgodnie z art. 42 ust. 1 pkt 2 i 3 ustawy o działalności pożytku publicznego i o wolontariacie wolontariusze mogą wykonywać świadczenia m.in. na rzecz organów administracji publicznej oraz jednostek organizacyjnych podległych organom administracji publicznej lub nadzorowanych przez te organy (z wyłączeniem prowadzonej przez te organy i  jednostki działalności gospodarczej). Wymienione w tym przepisie podmioty, na rzecz których wolontariusze mogą wykonywać świadczenia, zwane są w ww. ustawie "korzystającymi".

Zgodnie natomiast z art. 44 ust. 1 ustawy o działalności pożytku publicznego i o wolontariacie, podstawą podjęcia przez wolontariusza na rzecz korzystającego  świadczeń jest porozumienie pomiędzy nim a korzystającym. Przepis ten stanowi, że świadczenia wolontariuszy są wykonywane w zakresie, w sposób i w czasie określonych w porozumieniu.

Wobec tego podstawą przetwarzania przez ośrodek pomocy społecznej danych osobowych wolontariusza w celu zawarcia i realizacji takiego porozumienia będzie art. 6 ust. 1 lit. b RODO (tj. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy).

Ponadto należy wskazać, że pomocne informacje dotyczące bezpiecznego korzystania ze świadczeń wolontariuszy znaleźć można w materiale pt. „Wolontariat musi szczególnie dbać o ochronę danych beneficjentów”.  Zaleca się w nim m.in. aby zrobić szkolenie dla wolontariuszy w celu zapoznania ich z polityką poufności oraz zasadami przetwarzania danych osobowych, a także, aby zwracać szczególną uwagę kogo upoważnia się do dostępu do danych i co się dzieje z danymi na każdym etapie ich przetwarzania.

Wolontariat musi szczególnie dbać o ochronę danych beneficjentów

Organizacje pracujące na rzecz innych (tzw. wolontariaty) w związku ze swoją działalnością przetwarzają ogromne ilości danych osobowych. Często są to dane wymagające szczególnej ochrony, których pozyskiwanie wiąże się ze zwiększonymi ryzykami naruszenia praw i wolności osób, których one dotyczą. Przekazujemy kilka zasad i wskazówek, o których warto pamiętać w organizacjach zajmujących się pomocą potrzebującym.

Wolontariusze i organizacje niosące pomoc potrzebującym przyjmują na siebie dużą odpowiedzialność za ochronę danych osobowych. Przetwarzają bowiem dane nie tylko wolontariuszy, innych osób z którymi współpracują, ale przede wszystkim - tych, którym udzielają pomocy.

Bardzo często w wolontariacie mamy do czynienia z danymi szczególnej kategorii m.in. informacje o rasie, pochodzeniu etnicznym, stanie zdrowia. Tym bardziej takie organizacje muszą zadbać o ochronę danych osobowych, aby nie narazić się na utratę zaufania, które jest bardzo ważne w takiej działalności. Należy więc zadbać, by dane klientów, użytkowników, darczyńców i wolontariuszy nie zostały, choćby przypadkowo ujawnione. Stosowanie odpowiednich  środków organizacyjnych i technicznych, aby temu zapobiec należy do obowiązków każdej organizacji prowadzącej taką działalność.

1. Określ jasne i skuteczne zasady polityki poufności i zobowiąż każdego pracownika i wolontariusza do ich przestrzegania.
2. Zrób szkolenie dla nowych pracowników i wolontariuszy. Zapoznaj ich z polityką poufności oraz zasadami przetwarzania danych osobowych. W jasny i prosty sposób przedstaw obowiązki każdemu, kto będzie miał dostęp do danych osobowych.
3. Rób szkolenia przypominające o tych zasadach.
4. Poinformuj osoby, których dane przetwarzasz, o tym po co gromadzisz dane i co z nimi robisz. Opracuj przejrzyste informacje w tym zakresie zgodnie z wymogami prawnymi.
5. Poinformuj wolontariuszy do czego wykorzystywane będą ich dane.
6. Informacje o osobach  przechowuj tylko przez taki czas, przez jaki jest to niezbędne.
7. Odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych oraz bezpieczeństwo danych spoczywa na administratorze, czyli organizacji takiej jak np. stowarzyszenie lub fundacja. Administrator odpowiada również za przetwarzanie, które powierza innemu podmiotowi. Powinien zwracać szczególną uwagę kogo upoważnia do dostępu do danych i co się dzieje z danymi na każdym etapie ich przetwarzania.
8. Nadzoruj i monitoruj procedury związane z bezpiecznym przetwarzaniem danych osobowych.
9. Zadbaj o bezpieczeństwo biura – zabezpiecz dokumenty, ogranicz do nich dostęp.
   Kieruj się zasadą czystego biurka – nie pozostawiaj zapisanych haseł, dokumentów, danych na biurku.
10. Zobowiąż wolontariuszy do niepozostawiania  dokumentów z danymi osobowymi bez nadzoru oraz ich nieudostępniania osobom do tego nieupoważnionym, bądź nieuprawnionym.
11. Nie ujawniaj danych osobowych poza organizacją, w której pracujesz. Uważaj gdzie i z kim o nich rozmawiasz. Unikaj takich rozmów w miejscach publicznych, podczas spotkań towarzyskich oraz przez telefon.
12. Gdy pracujesz nad dokumentami zawierającymi dane osobowe unikaj miejsc publicznych, np. komunikacji miejskiej, galerii handlowych, dworców itp.
13. Zadbaj o przeszkolenie pracowników pracujących zdanie w zakresie szyfrowania wiadomości e-mail, nie pozostawiania komputera i nośników danych bez kontroli.
14. Używaj silnych haseł zabezpieczających komputer i nośniki danych, tak aby chronić informacje na nich zawarte przed dostaniem się w niepowołane ręce.
15. Zaszyfruj wszystkie urządzenia przenośne – laptopy, pendrive’y, dyski zewnętrzne.
16. Systematycznie czyść pliki cookies, zapamiętane hasła oraz nazwy użytkowników.
17. Nie proś o dane, których nie potrzebujesz.
18. Dokumenty, które nie są już potrzebne, a zawierają dane osobowe, zniszcz przed wyrzuceniem, w sposób uniemożliwiający ich odtworzenie.