Kwartalnik o tematyce społeczeństwa obywatelskiego

Obowiązki organizacji pozarządowych jako administratorów danych osobowych w świetle RODO

Abstrakt

W artykule skoncentrowano się na obowiązkach nałożonych na organizację  pozarządową jako administratora danych osobowych w związku z wejściem w życie  rozporządzenia ogólnego o ochronie danych (RODO). Punktem wyjścia jest przedstawienie nowego podejścia do ochrony danych osobowych, które jest zawarte  w tym akcie prawnym, i wskazanie, że każde uprawnienie osób, których dane są  przetwarzane, rodzi obowiązek po stronie administratora. W tekście omówiono instytucję analizy ryzyka przetwarzania danych jako podstawową czynność, którą administrator powinien wykonać przed podjęciem decyzji o tym, w jaki sposób i jakimi  środkami będzie chronił dane. Ponadto poruszono problematykę oceny skutków  planowanych operacji przetwarzania dla ochrony danych jako niezbędną do przeprowadzenia w wielu organizacjach pozarządowych, szczególnie tych, które  przetwarzają dane wrażliwe. Wskazano również zakres informacji przekazywanych osobom, których dane są przetwarzane, i omówiono wybrane prawa tych osób. Zarysowano także problematykę pozostałych obowiązków administratorów, szczególnie prawa do zapomnienia i prawa do przeniesienia danych.

Legal duties of NGOs in their capacity as personal data administrators in light of the GDRP

Abstract

This article examines the legal duties brought for personal data administrators by the coming into force of the General Data Protection Regulation in the specific case of non-governmental organisations. As his point of departure, the author describes the general approach to personal data protection introduced by way of the GDPR, emphasising that, as a general rule, every specific right of the persons whose personal data is processed is mirrored in specific duties incumbent on the data administrator. The article describes data processing risk assessment as the basic mechanism (and legal institution) which a data administrator should resort to as it decides how, and by what means, it proposes to safeguard personal data entrusted to it. Assessment of the implications of planned data processing for data security is described as a necessary prerequisite for NGOs contemplating operations in this regard, even more so if the data in question is of a sensitive nature. The article also discusses information duties vis a vis the persons whose data is processed as well as some of their rights, and it limns other issues of relevance for data administrators, such as the right to be forgotten and the right to transfer of data.