Problemem nie są przepisy RODO, ale stosowanie ich w praktyce

Organizacje pozarządowe, nawet te stosunkowo niewielkie, mogą przetwarzać ogromne ilości danych osobowych, w tym te należące do szczególnych kategorii, które podlegają wzmożonej ochronie prawnej. Dlatego w działalności NGO ważne jest utrzymanie podejścia opartego na analizie ryzyka, a także stałe podnoszenie wiedzy z zakresu ochrony danych osobowych. Narzędziem pomocnym we właściwym wdrażaniu określonych w RODO zasad może być zaś kodeks postępowania.

W Kancelarii Prezesa Rady Ministrów 13 maja 2025 r., podczas posiedzenia plenarnego Rady Działalności Pożytku Publicznego, odbyła się debata „RODO w organizacjach pozarządowych? Może czas na uproszczenia?”. Urząd Ochrony Danych Osobowych reprezentowała na niej Monika Krasińska – Dyrektor Departamentu Prawa i Nowych Technologii.

Mniej obowiązków dla NGO?

We wprowadzeniu do dyskusji jej moderator Andrzej Rybus-Tołłoczko, członek Społecznego Zespołu Ekspertów przy Prezesie UODO, omówił podstawowe, wynikające z RODO obowiązki organizacji pożytku publicznego. Odniósł się też do problemów związanych ze stosowaniem tego aktu prawnego, w tym kwestii skomplikowanych procedur i nadmiarowej dokumentacji.

Każdy z uczestników debaty mógł ustosunkować się do dwóch pytań:

• Czy w odniesieniu do organizacji pozarządowych istnieje możliwość uproszczenia wynikających z RODO obowiązków?
• Jakie zmiany w związku z tym mogłyby być wprowadzone w przepisach prawa?

Blaski i cienie RODO

Dyrektor Monika Krasińska odnosząc się do tych kwestii, wskazała, że problemem nie są przepisy RODO, ale nieumiejętność zastosowania ich w praktyce. Często bowiem podmioty z trzeciego sektora je nadinterpretują, a ich działania cechuje nadmierny formalizm.

Tymczasem RODO określając podstawowe zasady ochrony danych osobowych i wyznaczając cele, które mają zostać osiągnięte, oraz wprowadzając podejście oparte na analizie ryzyka, daje administratorom większą swobodę i elastyczność działania.

Jednak fakt, że dany podmiot jest organizacją pożytku publicznego, nie oznacza, że przetwarzanie przez niego danych osobowych nie stwarza ryzyk z obszaru praw i wolności osób, bądź że ryzyka, z jakimi mierzą się NGO (ang. non-governmental organization), są mniejsze niż u innych administratorów.

Podobnie jak w przypadku przedsiębiorców nie można oceniać takich organizacji jedynie przez pryzmat ich wielkości, gdyż podmioty te mogą przetwarzać ogromne ilości danych, w tym danych szczególnych kategorii, o których mowa w art. 9 i 10 RODO, które podlegają wzmożonej ochronie. Ich przetwarzanie powoduje zaś istotne ryzyka.

Ocena ryzyka – klucz do RODO

Dyrektor Krasińska zaznaczyła, że w Komisji Europejskiej trwają prace związane z uproszczeniem obowiązków związanych z prowadzeniem dokumentacji na mocy RODO.

Wstępną opinię co do tych propozycji Europejska Rada Ochrony Danych, której Prezes UODO jest członkiem, oraz Europejski Inspektor Ochrony Danych Osobowych wyrazili we wspólnym liście przesłanym 8 maja 2025 r. do KE. Podkreślono w nim, że nawet bardzo małe firmy mogą uczestniczyć w przetwarzaniu wysokiego ryzyka, dlatego ważne jest zachowanie podejścia opartego na badaniu ryzyka. Co istotne, analiza ryzyka i ocena skutków dla ochrony danych powinny być przeprowadzane nie tylko przez administratora, ale także na etapie tworzenia przepisów prawa. Dzięki temu możliwe jest wykazanie niezbędności przetwarzania danych osobowych w określony sposób, we wskazanym konkretnie celu (celach) i zakresie.

Tymczasem w związku z rozpoczęciem stosowania RODO krajowe przepisy regulujące funkcjonowanie trzeciego sektora (Ustawa o fundacjach, Prawo o stowarzyszeniach, Ustawa o działalności pożytku publicznego i o wolontariacie) nie były poddanie ocenie pod kątem ich zgodności z RODO. Zatem zasadne byłoby dokonanie takiej analizy i rozważenie, czy nie ma potrzeby dokonania w nich zmian, w tym o charakterze systemowym.

Kodeks postępowania jako kompas

Ważną, wspieraną przez UODO inicjatywą, jest też opracowanie kodeksu postępowania dla organizacji pozarządowych. Jak mówiła dyr. Krasińska, taki dokument to zbiór zatwierdzonych przez Prezesa UODO zasad, które wskazują, jak zastosować RODO i przepisy branżowe w konkretnych sytuacjach. Pozwala on również skutecznie wyeliminować ryzyko niewłaściwej interpretacji przepisów prawa, a także ryzyko nieadekwatnego przetwarzania danych czy wprowadzania zbędnych procesów przetwarzania danych. Dzięki temu pomaga zapewnić wysoki poziom ochrony danych osobowych, a jednocześnie umożliwia podmiotom, które do niego przystąpią, skupienie się na podstawowej działalności.

Ciągła edukacja

Nie wolno jednak zapominać o ciągłym doskonaleniu wiedzy. Regularne szkolenia są kluczowe dla zapewnienia skutecznej ochrony danych osobowych. Jak zapewniła dyr. Krasińska, Urząd Ochrony Danych Osobowych będzie kontynuował swoje działania informacyjno-edukacyjne. Zachęcała, by z nich korzystać.