Organizacje pozarządowe prowadząc swoją działalność statutową i administracyjną pozyskują i przechowują rożne rodzaje danych. Są wśród nich dane osobowe członków i pracowników organizacji oraz beneficjentów projektów. Te ostatnie dotyczą często osób chorych lub niepełnosprawnych i tym samym uznawane są za tzw. "dane wrażliwe". Przepisy prawne nakładają na organizacje obowiązek posiadania polityki bezpieczeństwa zapewniającej ochronę posiadanych danych.
Pod hasłem "Polityka bezpieczeństwa", zasadniczo kryją się dwa pokrewne tematy:
• Polityka bezpieczeństwa informacji
• Polityka bezpieczeństwa systemu teleinformatycznego.
Ustawa o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadzają regulacje szczególnie od strony formalnej w zakresie bezpieczeństwa informacji. Oznacza to, że powyższe dokumenty odnoszą się do szczególnych regulacji prawnych wewnątrz Twojej organizacji. Nakładające się obszary działania polityk bezpieczeństwa, należy rozumieć, jako uzupełnianie się ich, ponieważ polityka bezpieczeństwa informacji musi działać tak samo w rozumieniu ochrony informacji w Twojej organizacji (np. poprzez ograniczenie dostępu do niej) jak również w Twoim systemie teleinformatycznym. Budowa Polityki Bezpieczeństwa Informacji polega na stopniowym opracowywaniu sposobów zabezpieczenia zasobów informacyjnych będących w posiadaniu Twojej organizacji. Przystępując do jej opracowywania, należy kierować się ogólną zasadą rozpoczynania pracy od dużego poziomu ogólności, aż - stopniowo - po najdrobniejsze szczegóły zasad przechowywania i przetwarzania informacji. Prace nad polityką bezpieczeństwa należy rozpocząć od zdefiniowania użytych w dokumencie pojęć, skrótów, stanowisk, itd. Kolejnym krokiem jest zbadanie wszystkich funkcjonujących procesów przetwarzania informacji w organizacji (duży poziom ogólności). Należy w nich określić:
• Drogi dystrybucji (obiegu) informacji,
• Kanały dystrybucji informacji,
• Proces pozyskiwania i udostępniania informacji,
• Zakres przetwarzania informacji,
• Miejsce składowania,
• Miejsce archiwizacji,
• Metody archiwizacji,
• Zasady dostępu do informacji bieżących,
• Zasady dostępu do archiwum informacji,
• Sposoby stosowanych zabezpieczeń,
• Zakres kontroli dostępności informacji,
• Przyjęte procedury awaryjne,
• Procedury wymiany informacji z podmiotami zewnętrznymi,
• Stanowiska i zakres odpowiedzialności za kontrolę stanu przestrzegania Polityki Bezpieczeństwa."
Organizacjom pozarządowym przybył też kolejny obowiązek. Nie ma już wątpliwości, że większość z nich musi stosować ustawę o przeciwdziałaniu praniu pieniędzy. Obowiązek ten dotyczy zarówno fundacji, jak i stowarzyszeń. Mało która organizacja o tym wie, a jeszcze mniej jest pewności co do tego, jak dostosować się do przepisów.
Od 2001 r. obowiązuje Ustawa z dn. 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz. U. z 2010 r., Nr 46, poz. 276). Najogólniej mówiąc dotyczy ona zabezpieczenia i zapobiegania nielegalnym transakcjom finansowym, zwłaszcza tym związanym ze zorganizowanymi grupami przestępczymi. Wśród instytucji, które mają obowiązek stosować procedury zabezpieczające są np. banki, domy maklerskie, ale także fundacje (od 2004 r.) i stowarzyszenia (od 2009 r.). Te ostatnie znalazły się na tej liście po nowelizacji ustawy z 2009 r., a ich obowiązki obejmują m.in. rejestrację transakcji powyżej 15 tys.euro. Przez transakcje można tu rozumieć m.in. wpłaty i wypłaty w formie gotówkowej lub bezgotówkowej, w tym przekazy pieniężne od osób fizycznych i prawnych. W praktyce oznacza to, że wszystkie darowizny i dotacje wyższe niż 15 tys. euro organizacje powinny rejestrować u Głównego Inspektora Informacji Finansowej.
Z ustawy wynika, że…
1. Z ustawy wynika, że organizacjami zobowiązanymi do jej stosowania, czyli „instytucjami obowiązanymi” są również fundacje i stowarzyszenia. Ich obowiązki to:
2. stworzenie i przyjęcie procedury wewnętrznej polityki bezpieczeństwa finansowego organizacji - powinna ona zostać przyjęta (zatwierdzona) przez odpowiednie władze uchwałą (zgodnie ze statutem organizacji – może to być np. zarząd).
3. wybranie osoby/osób odpowiedzialnych w organizacji za przestrzeganie i stosowanie procedury bezpieczeństwa finansowego - o tym, jaka osoba zostanie wybrana decyduje najczęściej zarząd (także w formie uchwały), jest to bowiem związane z zapewnieniem bezpieczeństwa finansowego organizacji, co mieści się w zakresie kompetencji zarządu – zarządzanie majątkiem organizacji. Warto jednak sprawdzić w statucie, czy to na pewno decyzja zarządu i czy nie musi ona być potwierdzona przez inne władze organizacji;
4. wybrana przez organizację osoba/osoby muszą uzyskać certyfikat - w tym celu konieczne jest przejście e-learningowego szkolenia, które udostępnione zostało przez GIIF na stronie: https://www.giif.wortalszkoleniowy.pl/;
5. rejestracja transakcji powyżej 15 tys. euro - w tym także transakcji powiązanych, to znaczy takich, których suma jest wyższa niż 15 tys. euro (np. dotacja w trzech transzach).
Więcej informacji znajdziecie Państwo na portalu www.ngo.pl