Toggle Side Panel

Część IV: Bezpieczeństwo cyfrowe i ochrona danych w NGO

piotr-maczuga
Piotr Maczuga 2026-01-05
0 komentarzy

Niniejszy raport przedstawia kompleksowy przegląd badań, raportów i analiz dotyczących bezpieczeństwa cyfrowego i ochrony danych osobowych w organizacjach pozarządowych (NGO), ze szczególnym uwzględnieniem Polski oraz krajów Europy Środkowo-Wschodniej o podobnym statusie. Analiza opiera się na przeglądzie najistotniejszych publikacji naukowych i raportach praktycznych z lat 2018–2025.

Kluczowe ustalenia wskazują, że sektor NGO charakteryzuje się szczególną podatnością na zagrożenia cybernetyczne ze względu na ograniczone zasoby finansowe, niewystarczającą wiedzę techniczną oraz przetwarzanie wrażliwych danych osobowych beneficjentów i darczyńców. Najczęstsze zagrożenia obejmują ataki phishingowe, ransomware, wycieki danych oraz przestarzałą infrastrukturę IT. Implementacja RODO w sektorze NGO napotyka na istotne wyzwania związane z brakiem specjalistycznej wiedzy prawnej, ograniczonymi zasobami oraz niewystarczającym wsparciem ze strony organów nadzorczych, szczególnie w Europie Wschodniej.

Raport identyfikuje sprawdzone praktyki bezpieczeństwa cyfrowego dostosowane do możliwości organizacji pozarządowych, w tym niskokosztowe rozwiązania techniczne, programy szkoleniowe dla personelu oraz ramy organizacyjne zgodności z RODO. Dokument kończy się zestawem kluczowych wniosków i rekomendacji menedżerskich, które mogą być bezpośrednio wdrożone przez kadry zarządzające NGO.

Wprowadzenie

Organizacje pozarządowe odgrywają kluczową rolę w społeczeństwie obywatelskim, świadcząc usługi na rzecz grup wrażliwych, wspierając demokrację i realizując projekty humanitarne. W erze cyfryzacji NGO coraz częściej polegają na technologiach informacyjnych w codziennej działalności, co naraża je na rosnące zagrożenia cybernetyczne. Jednocześnie przetwarzają wrażliwe dane osobowe beneficjentów, darczyńców, wolontariuszy i pracowników, co wiąże się z obowiązkiem zapewnienia wysokiego poziomu ochrony danych zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO/GDPR).

Sektor NGO charakteryzuje się specyficznymi wyzwaniami w zakresie bezpieczeństwa cyfrowego. W przeciwieństwie do przedsiębiorstw komercyjnych, organizacje pozarządowe często dysponują ograniczonymi budżetami na IT, brakiem dedykowanych specjalistów ds. bezpieczeństwa oraz niższym poziomem świadomości zagrożeń cybernetycznych wśród personelu [1], [10]. Jednocześnie NGO mogą być celami ataków ze względu na charakter swojej działalności, szczególnie w przypadku organizacji zajmujących się prawami człowieka, ochroną środowiska czy działalnością polityczną [22].

Niniejszy raport ma na celu dostarczenie kadrom zarządzającym organizacji pozarządowych w Polsce i krajach o podobnym statusie kompleksowego przeglądu aktualnej wiedzy na temat bezpieczeństwa cyfrowego i ochrony danych w sektorze NGO. Dokument identyfikuje najczęstsze zagrożenia, analizuje poziom świadomości bezpieczeństwa, przedstawia wnioski z badań dotyczących implementacji RODO oraz syntetyzuje dobre praktyki rekomendowane w literaturze naukowej i raportach branżowych.

Zagrożenia cyberbezpieczeństwa dla organizacji pozarządowych

Najczęstsze typy zagrożeń

Badania jednoznacznie wskazują, że organizacje pozarządowe są szczególnie narażone na szereg zagrożeń cybernetycznych.

Ataki phishingowe i socjotechniczne. Phishing stanowi jedno z najczęstszych zagrożeń dla NGO [10]. Ataki te wykorzystują ograniczoną świadomość bezpieczeństwa wśród pracowników i wolontariuszy, którzy mogą nieświadomie ujawnić dane dostępowe lub zainstalować złośliwe oprogramowanie.

Ransomware. Oprogramowanie szyfrujące dane i żądające okupu stanowi poważne zagrożenie dla ciągłości działania organizacji [10]. NGO często nie posiadają odpowiednich kopii zapasowych lub planów odzyskiwania danych, co czyni je szczególnie podatnymi na tego typu ataki.

Wycieki i naruszenia danych osobowych. Nieautoryzowany dostęp do wrażliwych danych beneficjentów, darczyńców czy pracowników może mieć poważne konsekwencje prawne, finansowe i reputacyjne [10], [20].

Przestarzała infrastruktura IT. Badanie infrastruktury cyfrowej organizacji społeczeństwa obywatelskiego w krajach andyjskich wykazało, że 20 z 43 badanych organizacji posiadało poważne luki w zabezpieczeniach [20]. Kluczowe problemy obejmowały przestarzałe wersje OpenSSH, brak mechanizmów uwierzytelniania poczty elektronicznej (SPF, DMARC), co naraża organizacje na ataki typu spoofing i phishing. Aż 20 z 25 organizacji posiadało maksymalne wskaźniki podatności między 8 a 10, przy czym 7 organizacji miało ponad 100 zidentyfikowanych luk [20].

Ataki ukierunkowane i inwigilacja. Organizacje społeczeństwa obywatelskiego, szczególnie zajmujące się prawami człowieka czy działalnością polityczną, mogą być celami ukierunkowanych ataków ze strony państwowych lub niepaństwowych aktorów [12], [20].

Specyficzne podatności sektora NGO

Ograniczone zasoby finansowe i techniczne. NGO często dysponują ograniczonymi budżetami na infrastrukturę IT i bezpieczeństwo cyfrowe [1], [2], [10], [18]. Brak dedykowanych specjalistów ds. bezpieczeństwa oraz konieczność polegania na wolontariuszach lub personelu o ograniczonych kompetencjach technicznych zwiększa ryzyko [13], [18].

Niewystarczająca świadomość bezpieczeństwa. Badania wskazują na znaczące braki w świadomości ryzyka bezpieczeństwa informacji wśród pracowników NGO [13], [18]. Organizacje często nie posiadają formalnych programów szkoleniowych w zakresie cyberbezpieczeństwa.

Złożoność środowiska operacyjnego. NGO często działają w złożonych ekosystemach, współpracując z wieloma partnerami, darczyńcami i beneficjentami, co zwiększa powierzchnię ataku [5]. Wymogi związane z przeciwdziałaniem terroryzmowi i screeningiem partnerów dodatkowo komplikują zarządzanie danymi [5].

Wspólna infrastruktura. Wiele organizacji korzysta ze wspólnych platform hostingowych, co powoduje, że podatności mogą się rozprzestrzeniać między organizacjami [20].

Konsekwencje incydentów bezpieczeństwa

Naruszenia bezpieczeństwa cyfrowego mogą mieć poważne konsekwencje dla organizacji pozarządowych: utrata zaufania darczyńców i beneficjentów – naruszenie danych osobowych może trwale zaszkodzić reputacji organizacji i zmniejszyć wsparcie finansowe [2], [11]; konsekwencje prawne i finansowe – niezgodność z RODO może skutkować karami finansowymi do 20 milionów euro lub 4% rocznego obrotu [27]; zakłócenie działalności operacyjnej – ataki ransomware lub inne incydenty mogą uniemożliwić świadczenie usług na rzecz beneficjentów [11]; zagrożenie dla bezpieczeństwa beneficjentów – wyciek danych osób z grup wrażliwych może narazić je na dodatkowe ryzyko [24], [26].

Poziom świadomości bezpieczeństwa cyfrowego w sektorze NGO

Stan świadomości wśród pracowników NGO

Badania jednoznacznie wskazują na niewystarczający poziom świadomości bezpieczeństwa cyfrowego w sektorze organizacji pozarządowych. Analiza przeprowadzona wśród 102 pracowników organizacji społeczeństwa obywatelskiego wykazała, że NGO są szczególnie podatne na zagrożenia bezpieczeństwa i prywatności ze względu na brak odpowiednich zasobów i ekspertyzy do obrony [24].

Braki w wiedzy o zagrożeniach. Badanie świadomości ryzyka bezpieczeństwa informacji wśród organizacji pozarządowych w Arabii Saudyjskiej potwierdziło znaczące luki w świadomości zagrożeń [13]. Pracownicy często nie potrafią rozpoznać ataków phishingowych, nie rozumieją znaczenia silnych haseł czy nie są świadomi ryzyka związanego z korzystaniem z niezabezpieczonych sieci Wi-Fi.

Niedostateczne programy szkoleniowe. Większość organizacji pozarządowych nie posiada formalnych programów szkoleniowych w zakresie bezpieczeństwa informacji [13]. Tam, gdzie szkolenia są prowadzone, często mają charakter jednorazowy i nie są regularnie aktualizowane w odpowiedzi na ewoluujące zagrożenia.

Wyzwania w budowaniu kultury bezpieczeństwa

Literatura identyfikuje szereg barier w budowaniu kultury bezpieczeństwa: brak zaangażowania kierownictwa – osiągnięcie bezpieczeństwa i zgodności z przepisami jest wyzwaniem organizacyjnym zależnym od przywództwa i kultury organizacyjnej [1]; ograniczone zasoby na szkolenia – organizacje działające w środowiskach o ograniczonych zasobach mają trudności z finansowaniem regularnych szkoleń [1], [2]; rotacja personelu i wolontariuszy – wysoka rotacja utrudnia utrzymanie spójnego poziomu świadomości bezpieczeństwa w całej organizacji.

Modele podnoszenia świadomości

Al-Nassiri i współautorzy zaproponowali Rozszerzony Model Świadomości Bezpieczeństwa Informacji (Enhanced Information Security Awareness Model), który obejmuje dodatkowe obszary: zabezpieczenie urządzeń oraz świadomość polityk bezpieczeństwa [9]. Ewaluacja modelu przy użyciu kwestionariusza EHAIS-Q wykazała, że pozytywnie wpływa on na świadomość bezpieczeństwa informacji i poprawia kulturę bezpieczeństwa w organizacjach humanitarnych [9].

Kluczowe elementy skutecznych programów podnoszenia świadomości obejmują: regularne szkolenia dostosowane do poziomu kompetencji uczestników, praktyczne ćwiczenia i symulacje ataków (np. phishingu), integrację bezpieczeństwa z codziennymi procesami pracy, ciągłe przypomnienia i aktualizacje o nowych zagrożeniach oraz zaangażowanie kierownictwa jako wzorców do naśladowania.

Implementacja RODO i ochrona danych w NGO

Wyzwania implementacyjne

Złożoność przepisów i brak specjalistycznej wiedzy. Wiele organizacji charytatywnych było słabo przygotowanych do wdrożenia RODO ze względu na ich charakterystykę organizacyjną [16]. Przepisy RODO są złożone i wymagają specjalistycznej wiedzy prawnej. Badanie implementacji RODO w polskich związkach zawodowych (które są organizacjami non-profit) wykazało, że jasne przypisanie roli administratora danych osobowych stwarza problemy ze względu na sformułowania przepisów RODO [4].

Ograniczone zasoby finansowe i ludzkie. Organizacje działające w środowiskach o ograniczonych zasobach mają trudności z wdrożeniem wymaganych środków technicznych i organizacyjnych [1], [2], [18]. Brak dedykowanych specjalistów ds. ochrony danych (Data Protection Officers) utrudnia zapewnienie ciągłej zgodności z przepisami.

Niewystarczające wsparcie ze strony organów nadzorczych. Badania wskazują, że oficjalne porady ze strony organów ochrony danych są szczególnie ograniczone w Europie Wschodniej [6]. Organy brytyjskie, holenderskie i francuskie zapewniały najwięcej wsparcia, podczas gdy organizacje w Europie Środkowo-Wschodniej często pozostają bez odpowiedniego wsparcia [6].

Dylematy związane z transparentnością. Zgodność z RODO stanowi wyzwanie dla organizacji NGO z siedzibą w UE/EOG, zobowiązanych do zapewnienia transparentności [5]. Komunikowanie kwestii prywatności i ochrony danych jest trudne ze względu na analfabetyzm cyfrowy i brak zasobów ludzkich w organizacjach pomocowych [5].

Specyficzne obszary problemowe

Określenie podstawy prawnej przetwarzania. Badanie polskich związków zawodowych wykazało, że wiele organizacji nieprawidłowo opiera się na zgodzie jako podstawie prawnej przetwarzania danych członkowskich, podczas gdy właściwszą podstawą byłoby wykonanie umowy lub prawnie uzasadniony interes [4].

Zarządzanie przepływem danych. Klauzule informacyjne stosowane przez związki zawodowe nie są jednolite w definiowaniu relacji między podmiotami danych a strukturami związkowymi [4]. Niezabezpieczone transfery danych (np. przez e-mail bez zabezpieczeń) stanowią ryzyko [4].

Oceny skutków dla ochrony danych (DPIA). Organizacje humanitarne działające w kontekstach kryzysowych mają trudności z przeprowadzaniem szczegółowych ocen skutków dla ochrony danych [17]. Ścisła zgodność z RODO może stanowić znaczące wyzwania praktyczne dla organizacji humanitarnych działających w sytuacjach kryzysowych [17].

Prawa podmiotów danych. Zapewnienie realizacji praw podmiotów danych (dostęp, sprostowanie, usunięcie, przenoszenie danych) wymaga odpowiednich procedur i systemów, których wiele NGO nie posiada [26].

Dobre praktyki implementacji RODO

Pomimo wyzwań, literatura identyfikuje szereg skutecznych podejść do implementacji RODO w sektorze NGO:

Procesowe podejście do wdrożenia. Henriksen-Bulmer i współautorzy przedstawili przykładowy proces implementacji RODO oraz framework DPIA Data Wheel, opracowany dla sektora charytatywnego, który uwzględnia specyficzne cechy organizacji [16]. Proces ten został zwalidowany poprzez wdrożenie RODO w organizacji charytatywnej pracującej z osobami dorosłymi w trudnej sytuacji [16].

Uproszczone narzędzia zgodności. Dla organizacji humanitarnych działających w sytuacjach kryzysowych proponowane są praktyczne rozwiązania, takie jak uproszczone oceny skutków dla ochrony danych (DPIA), stosowanie pseudonimizacji, minimalizacja danych oraz standaryzowane protokoły ustaleń (MOU) zastępujące złożone wymagania umowne [17].

Narzędzia oceny zgodności. Opracowano narzędzia takie jak GDPR Compliance Assessment Toolkit (GCAT), które mają na celu pomóc organizacjom w ocenie ich aktualnego stanu zgodności z RODO [27]. Analiza porównawcza wykazała, że GCAT upraszcza i optymalizuje oceny zgodności z RODO [27].

Dokumentacja przetwarzania. Mironeanu i współautorzy przedstawili rozwiązanie do organizowania informacji o czynnościach przetwarzania w relacyjnych i nierelacyjnych bazach danych zorientowanych na dokumenty, aby ułatwić raportowanie wymagane przez RODO [15].

Kontekst polski i środkowoeuropejski

RODO wprowadza większą ochronę danych osobowych niż dotychczasowe przepisy krajowe [28], wzmacniając ochronę w zbieraniu, przetwarzaniu, przechowywaniu i przekazywaniu zdigitalizowanych danych osobowych [30]. Rozporządzenie określa nowe obowiązki dla administratorów danych, w tym wymóg prowadzenia rejestru czynności przetwarzania, przeprowadzania ocen skutków oraz zgłaszania naruszeń [28]. Analiza wpływu RODO na ochronę danych osobowych w Chorwacji szczegółowo opisuje zmiany prawne i wymogi dotyczące inspektorów ochrony danych [29], co jest reprezentatywne dla wyzwań w całym regionie Europy Środkowo-Wschodniej.

Dobre praktyki i rekomendacje z literatury

Środki techniczne

Literatura identyfikuje szereg technicznych środków bezpieczeństwa dostosowanych do możliwości organizacji pozarządowych: szyfrowanie danych – fundamentalna praktyka zabezpieczania danych zarówno w tranzycie, jak i w spoczynku, obejmująca konfigurację szyfrowania end-to-end dla komunikacji oraz szyfrowanie urządzeń i wrażliwych informacji [1], [2], [3], [20]; wieloskładnikowe uwierzytelnianie (MFA) – jedna z najbardziej efektywnych kosztowo metod ochrony przed nieautoryzowanym dostępem [1], [20]; kontrola dostępu oparta na rolach (RBAC) i zasada najmniejszych uprawnień (Least Privilege Principle) [1]; regularne aktualizacje oprogramowania kluczowe dla zamykania znanych luk w zabezpieczeniach [1], [20]; kopie zapasowe i testowanie procedur odzyskiwania [20]; zabezpieczenia sieciowe – zapory sieciowe, bezpieczne sieci, monitorowanie podatności infrastruktury [2], [20]; mechanizmy uwierzytelniania poczty (SPF, DMARC) chroniące przed atakami typu spoofing i phishing [20].

Środki organizacyjne

Skuteczne bezpieczeństwo cyfrowe wymaga nie tylko technologii, ale także odpowiednich procesów i kultury organizacyjnej: szkolenia i podnoszenie świadomości – regularne szkolenia personelu obejmujące rozpoznawanie phishingu, bezpieczne zarządzanie hasłami, ochronę urządzeń mobilnych oraz procedury reagowania na incydenty [1], [10], [11]; formalne polityki bezpieczeństwa – polityki haseł, BYOD, procedury reagowania na incydenty, polityki ochrony danych [9], [11]; zarządzanie ryzykiem – systematyczna ocena ryzyka wspierana dedykowanym narzędziem dostosowanym do NGO [10], [18]; planowanie reagowania na incydenty – plany określające role, odpowiedzialności i procedury działania w przypadku naruszenia [2], [11]; zarządzanie ryzykiem stron trzecich – weryfikacja praktyk bezpieczeństwa partnerów i dostawców [10]; zaangażowanie kierownictwa [1].

Rozwiązania niskokosztowe

Biorąc pod uwagę ograniczone zasoby sektora NGO, literatura szczególnie podkreśla znaczenie rozwiązań efektywnych kosztowo: narzędzia open-source [3], [10]; usługi chmurowe zapewniające często lepsze bezpieczeństwo niż lokalna infrastruktura przy niższych kosztach [10]; sieci współpracy i wymiany informacji o zagrożeniach [10]; menedżery haseł [20]; podejścia oparte na zasobach społeczności [3].

Techniki ochrony prywatności

Dla organizacji przetwarzających wrażliwe dane osobowe literatura rekomenduje: anonimizację i pseudonimizację – szczególnie przydatną w kontekstach humanitarnych [3], [17]; minimalizację danych – zbieranie tylko niezbędnych danych zgodnie z zasadami RODO [1], [17], [26]; warstwowe zabezpieczenia fizyczne, techniczne i administracyjne [3]; świadomą zgodę podmiotów danych [1], [26].

Ramy i modele referencyjne

Pięć obszarów odporności cybernetycznej zidentyfikowanych przez raport USAID w Kosowie: zarządzanie, techniczna implementacja procedur, monitorowanie systemów bezpieczeństwa, testowanie i audyt oraz szkolenia i świadomość personelu [12]. Lista kontrolna zgodności regulacyjnej dla organizacji non-profit i rozwojowych, obejmująca ochronę danych, cyberbezpieczeństwo, własność intelektualną, prawa konsumentów i zrównoważony rozwój środowiskowy [8]. Framework DPIA Data Wheel – narzędzie opracowane specjalnie dla sektora charytatywnego do przeprowadzania ocen skutków dla ochrony danych [16].

Kontekst Polski i Europy Środkowo-Wschodniej

Ograniczone wsparcie instytucjonalne. Oficjalne porady ze strony organów ochrony danych są szczególnie ograniczone w Europie Wschodniej [6]. Organizacje w tym regionie często nie mają dostępu do specjalistycznego wsparcia w zakresie implementacji RODO i najlepszych praktyk bezpieczeństwa.

Kontekst geopolityczny. Region charakteryzuje się specyficznymi wyzwaniami bezpieczeństwa informacyjnego związanymi z położeniem geopolitycznym [19]. Organizacje społeczeństwa obywatelskiego mogą być szczególnie narażone na ataki ze względów politycznych.

Dobre praktyki w regionie. W Polsce rozwijają się inicjatywy współpracy międzysektorowej w obszarze cyberbezpieczeństwa, w tym technologie podwójnego zastosowania i współpraca między sektorami [21]. Zwiększenie wiedzy o ochronie danych osobowych jest uznawane za obowiązek każdego podmiotu, przedsiębiorcy, menedżera i pracownika [28].

Dyskusja i synteza wyników

Analiza literatury pozwala zidentyfikować trzy główne kategorie wyzwań: wyzwania strukturalne – ograniczone zasoby finansowe i ludzkie, brak dedykowanych specjalistów, wysoka rotacja personelu oraz znaczący udział wolontariuszy [1], [2], [10], [13], [18], [24]; wyzwania techniczne – przestarzała infrastruktura IT, brak odpowiednich zabezpieczeń technicznych, niewystarczające kopie zapasowe [20]; wyzwania kulturowe i organizacyjne – niewystarczająca świadomość zagrożeń, brak kultury bezpieczeństwa, niedostateczne zaangażowanie kierownictwa [1], [9], [13], [24].

Literatura ujawnia istotny paradoks bezpieczeństwa w sektorze NGO: organizacje, które często przetwarzają najbardziej wrażliwe dane dotyczące grup narażonych, dysponują najmniejszymi zasobami na ich ochronę [24]. Jednocześnie mogą być celami ukierunkowanych ataków ze względu na charakter swojej działalności [12], [20], [22].

Badania jednoznacznie wskazują, że skuteczne bezpieczeństwo cyfrowe wymaga holistycznego podejścia obejmującego ludzi, procesy i technologię [10]. Samo wdrożenie technicznych środków bezpieczeństwa jest niewystarczające bez odpowiedniej kultury organizacyjnej, zaangażowania kierownictwa i ciągłego podnoszenia świadomości personelu [1], [9].

Organizacje humanitarne i rozwojowe często działają w sytuacjach kryzysowych, gdzie ścisła zgodność z przepisami o ochronie danych może kolidować z imperatywem szybkiego działania. Literatura proponuje elastyczne podejścia równoważące wymogi prawne z praktycznymi realiami pracy humanitarnej, takie jak uproszczone DPIA czy standaryzowane protokoły ustaleń [17].

Kluczowe wnioski i rekomendacje menedżerskie

Wnioski kluczowe

1. Bezpieczeństwo cyfrowe jest priorytetem strategicznym. Organizacje pozarządowe są szczególnie narażone na zagrożenia cybernetyczne ze względu na ograniczone zasoby, przetwarzanie wrażliwych danych oraz potencjalne ukierunkowane ataki. Bezpieczeństwo cyfrowe jest fundamentem zaufania darczyńców, ochrony beneficjentów i ciągłości misji organizacji [1], [2], [10], [11].

2. Najczęstsze zagrożenia są znane i przewidywalne. Phishing, ransomware, wycieki danych oraz przestarzała infrastruktura IT stanowią główne zagrożenia dla NGO [10], [20]. Większość incydentów można zapobiec poprzez wdrożenie podstawowych środków bezpieczeństwa i podniesienie świadomości personelu.

3. Świadomość bezpieczeństwa jest niewystarczająca. Badania jednoznacznie wskazują na znaczące luki w świadomości zagrożeń cybernetycznych wśród pracowników NGO [13], [24]. Inwestycja w szkolenia i budowanie kultury bezpieczeństwa jest kluczowa.

4. Implementacja RODO jest wyzwaniem, ale możliwa. Pomimo złożoności przepisów i ograniczonych zasobów, organizacje mogą skutecznie wdrożyć RODO poprzez procesowe podejście i wykorzystanie dostępnych narzędzi [16], [17], [27].

5. Wsparcie w Europie Wschodniej jest ograniczone. Organizacje w Polsce i regionie mają ograniczony dostęp do oficjalnego wsparcia ze strony organów ochrony danych [6], co wymaga większej samodzielności i współpracy między organizacjami.

6. Rozwiązania niskokosztowe są dostępne. Skuteczne bezpieczeństwo cyfrowe nie wymaga dużych budżetów. Narzędzia open-source, usługi chmurowe, menedżery haseł i podstawowe praktyki mogą znacząco poprawić bezpieczeństwo przy minimalnych kosztach [3], [10], [20].

7. Holistyczne podejście jest niezbędne. Skuteczne bezpieczeństwo wymaga integracji środków technicznych, organizacyjnych i kulturowych, z zaangażowaniem kierownictwa i całego personelu [1], [9], [10].

Rekomendacje strategiczne

Uznać bezpieczeństwo cyfrowe za priorytet strategiczny organizacji: włączyć je do strategii i regularnych dyskusji zarządu, wyznaczyć osobę odpowiedzialną za koordynację działań (nawet jeśli nie jest to pełnoetatowa rola), alokować odpowiednie zasoby finansowe (zalecane minimum 3–5% budżetu IT). Budować kulturę bezpieczeństwa od góry – kierownictwo powinno dawać przykład dobrych praktyk i regularnie komunikować ich znaczenie w kontekście misji. Włączyć koszty bezpieczeństwa do budżetów projektów i wniosków grantowych.

Rekomendacje operacyjne – środki techniczne

Priorytet 1 (natychmiastowy): włączyć wieloskładnikowe uwierzytelnianie (MFA) dla wszystkich kluczowych systemów, wdrożyć menedżery haseł dla całego personelu, zapewnić regularne aktualizacje systemów i oprogramowania, skonfigurować automatyczne kopie zapasowe danych.

Priorytet 2 (3–6 miesięcy): wdrożyć szyfrowanie danych wrażliwych, skonfigurować zapory sieciowe i podstawowe zabezpieczenia sieciowe, wdrożyć mechanizmy uwierzytelniania poczty (SPF, DMARC), przejrzeć i zaktualizować kontrole dostępu (RBAC, zasada najmniejszych uprawnień).

Wykorzystać rozwiązania niskokosztowe: narzędzia open-source, darmowe lub niskokosztowe usługi chmurowe, programy wsparcia technologicznego dla NGO (Microsoft Nonprofits, Google for Nonprofits).

Rekomendacje operacyjne – środki organizacyjne

Wdrożyć program szkoleń i podnoszenia świadomości: obowiązkowe szkolenia dla wszystkich nowych pracowników i wolontariuszy, regularne (co najmniej roczne) szkolenia odświeżające, symulacje ataków phishingowych, materiały edukacyjne dostępne na żądanie.

Opracować i wdrożyć podstawowe polityki bezpieczeństwa: politykę haseł, politykę BYOD, politykę bezpiecznego korzystania z poczty i Internetu, procedurę reagowania na incydenty, politykę ochrony danych osobowych zgodną z RODO.

Przeprowadzić ocenę ryzyka bezpieczeństwa i opracować plan reagowania na incydenty, określający role, odpowiedzialności, procedury wykrywania i zgłaszania incydentów oraz listę kontaktów (IT, prawnik, organ nadzorczy, policja).

Rekomendacje dotyczące RODO

Przyjąć procesowe podejście do implementacji RODO: przeprowadzić audyt obecnych praktyk przetwarzania danych, stworzyć rejestr czynności przetwarzania, zidentyfikować podstawy prawne dla każdej czynności, wdrożyć procedury realizacji praw podmiotów danych, przygotować wzory klauzul informacyjnych i zgód.

Wdrożyć zasady ochrony danych przez projekt (privacy by design): minimalizacja danych, ograniczenie celu, ograniczenie przechowywania, pseudonimizacja i anonimizacja tam, gdzie to możliwe. Przeprowadzić oceny skutków dla ochrony danych (DPIA) dla operacji wysokiego ryzyka, wykorzystując uproszczone narzędzia dostosowane do NGO (np. DPIA Data Wheel).

Rekomendacje dotyczące współpracy i wsparcia

Budować sieci współpracy i wymiany doświadczeń – uczestniczyć w sieciach wymiany informacji o zagrożeniach, dzielić się dobrymi praktykami, rozważyć wspólne inicjatywy (np. wspólne szkolenia, negocjacje z dostawcami). Szukać zewnętrznego wsparcia i ekspertyzy – korzystać z wytycznych organów ochrony danych, rozważyć konsultacje pro bono z ekspertami ds. bezpieczeństwa IT. Zarządzać ryzykiem stron trzecich – weryfikować praktyki bezpieczeństwa partnerów i dostawców, zawierać odpowiednie klauzule dotyczące ochrony danych w umowach.

Plan wdrożenia – pierwsze 90 dni

Dni 1–30: Ocena i planowanie. Przeprowadzić wstępną ocenę obecnego stanu bezpieczeństwa, zidentyfikować najważniejsze zasoby i największe ryzyka, wyznaczyć osobę odpowiedzialną za koordynację działań, opracować plan działania z priorytetami.

Dni 31–60: Szybkie wygrane. Wdrożyć MFA dla kluczowych systemów, wprowadzić menedżery haseł dla personelu, przeprowadzić pierwsze szkolenie z zakresu bezpieczeństwa, skonfigurować automatyczne kopie zapasowe.

Dni 61–90: Budowanie fundamentów. Opracować podstawowe polityki bezpieczeństwa, rozpocząć rejestr czynności przetwarzania (RODO), zaplanować regularne szkolenia i aktualizacje, ocenić potrzeby w zakresie dalszych inwestycji i wsparcia.

Zakończenie

Bezpieczeństwo cyfrowe i ochrona danych osobowych stanowią fundamentalne wyzwanie dla współczesnych organizacji pozarządowych. W erze cyfryzacji, gdy NGO coraz bardziej polegają na technologiach informacyjnych, a jednocześnie przetwarzają wrażliwe dane osobowe beneficjentów i darczyńców, zapewnienie odpowiedniego poziomu bezpieczeństwa staje się nie tylko wymogiem prawnym, ale także etycznym imperatywem i warunkiem zachowania zaufania społecznego.

Analiza literatury jednoznacznie wskazuje, że organizacje pozarządowe są szczególnie podatne na zagrożenia cybernetyczne ze względu na ograniczone zasoby, niewystarczającą świadomość zagrożeń oraz specyficzne wyzwania operacyjne. Jednocześnie badania pokazują, że skuteczna poprawa bezpieczeństwa jest możliwa poprzez wdrożenie dostosowanych do kontekstu rozwiązań technicznych i organizacyjnych, nawet przy ograniczonych budżetach.

Kluczowym wnioskiem jest potrzeba holistycznego podejścia do bezpieczeństwa cyfrowego, które integruje środki techniczne, procesy organizacyjne i kulturę bezpieczeństwa. Bezpieczeństwo cyfrowe musi być traktowane jako priorytet strategiczny organizacji, a nie jako opcjonalny dodatek. Dla organizacji działających w Polsce i krajach Europy Środkowo-Wschodniej szczególnym wyzwaniem jest ograniczone wsparcie ze strony organów nadzorczych, co tym bardziej uzasadnia budowanie sieci współpracy między organizacjami i wymianę doświadczeń.

Bezpieczeństwo cyfrowe nie jest celem samym w sobie, ale środkiem do realizacji misji organizacji. Chroniąc dane beneficjentów, zabezpieczając systemy przed atakami i zapewniając zgodność z przepisami, organizacje pozarządowe budują zaufanie, chronią swoją reputację i zapewniają ciągłość działania – inwestując tym samym w zdolność do skutecznego służenia społeczeństwu w długim okresie.

Bibliografia

  1. Kazanskaia, „Security and Compliance in Digital Collaboration for Non-Profit Organizations,” 2025. https://doi.org/10.64357/neya-gjnps-dgcltlenhtmpr-07
  2. Kazanskaia, „Ensuring Digital Security and Privacy in Religious Non-Profits: Ethical, Legal, and Practical Approaches,” 2025. https://doi.org/10.64357/neya-gjnps-digital-security-2025
  3. Kazanskaia, „Data Protection and Privacy in Non-Profit Research: Ethical and Practical Considerations,” 2025. https://doi.org/10.64357/neya-gjnps-rsc-eth-dt-04
  4. D. Dörre-Kolasa, „Administrator danych osobowych w zbiorowym prawie zatrudnienia,” 2019. https://doi.org/10.4467/25444654SPP.19.024.10914
  5. R. Paragi, „The Art of Screening: Reasonable Efforts and Measures at the Nexus of Aid Work and Counterterrorism,” Surveillance and Society, 2024. https://doi.org/10.24908/ss.v22i2.15634
  6. T. Franz et al., „Civil Society Organizations and General Data Protection Regulation Compliance”
  7. M. Magnusson et al., „Implications of EU-GDPR in low-grade social, activist and NGO Settings,” 2017. https://doi.org/10.33107/IJBTE.2018.6.3.07
  8. Kazanskaia, „Teaching Paper: Regulatory Compliance Checklist – Safeguarding Non-Profit and Development Projects.” https://doi.org/10.64357/neya-gjnps-tch-reg-comp-tp-02
  9. M. Al-Nassiri et al., „Enhancing Information Security Awareness Model to Advance Human Aspects in Humanitarian Organizations,” 2024. https://doi.org/10.1109/iceti63946.2024.10777196
  10. „Cybersecurity strategies for non-profit organizations,” International Journal of Innovative Research in Engineering & Multidisciplinary Physical Sciences, 2024. https://doi.org/10.37082/ijirmps.v12.i6.231754
  11. Kazanskaia, „Cybersecurity Essentials,” 2025. https://doi.org/10.64357/cybersecurity-essentials-2025
  12. S. Luitel, „Role of Non-State Actors in National Security,” Unity Journal, 2024. https://doi.org/10.3126/unityj.v5i1.63160
  13. A. Hassan et al., „Information security risk awareness survey of non-governmental organization in Saudi Arabia,” Research & Innovation Forum, 2023. https://doi.org/10.1007/978-3-031-19560-0_4
  14. Michał et al., „Practical Methods of Implementation for the Indispensable Mechanism of GDPR Compliance.” https://doi.org/10.2478/wrlae-2021-0013
  15. M. Mironeanu et al., „GDPR Records of Processing Activities for Data Controllers.” https://doi.org/10.2478/bipie-2021-0019
  16. J. Henriksen-Bulmer et al., „Implementing GDPR in the Charity Sector: A Case Study,” 2018. https://doi.org/10.1007/978-3-030-16744-8_12
  17. F. Rego, „Application of data protection laws with a proposal for a flexible regime for humanitarian organisations,” Journal of Data Protection & Privacy, 2024. https://doi.org/10.69554/kdzo1158
  18. K. Saeedi et al., „An intuitive approach to cybersecurity risk assessment for non-governmental organizations,” Transforming Government: People, Process and Policy, 2024. https://doi.org/10.1108/tg-08-2024-0201
  19. M. Lechwar, „An Overview of Information Security Challenges in Central and Eastern Europe in the 21st Century”
  20. C. Pedraza et al., „Análisis de la infraestructura digital de Organizaciones de Sociedad Civil de la Comunidad Andina de Naciones,” 2023. https://doi.org/10.5281/zenodo.8139430
  21. M. Albrycht et al., „Dual-use Technology: Cross-sector Cooperation in the Cybersecurity Sector”
  22. L. Maschmeyer et al., „A tale of two cybers – how threat reporting by cybersecurity firms systematically underrepresents threats to civil society”
  23. A. Cloet, „Civil society futures in Central Europe”
  24. N. Samarin et al., „Surveying Vulnerable Populations: A Case Study of Civil Society Organizations,” 2020
  25. R. Shillair et al., „Cybersecurity education, awareness raising, and training initiatives: National level evidence-based results, challenges, and promise,” Computers & Security, 2022. https://doi.org/10.1016/j.cose.2022.102756
  26. A. Gazi, „Data to the rescue: how humanitarian aid NGOs should collect information based on the GDPR,” Journal of International Humanitarian Action, 2020. https://doi.org/10.1186/S41018-020-00078-0
  27. S. Ngobeni et al., „Towards a GDPR Compliance Assessment Toolkit,” Proceedings of the European Conference on Information Warfare and Security, 2024. https://doi.org/10.34190/eccws.23.1.2278
  28. A. Budziewicz-Guźlecka, „The security of personal data protection in the Polish information society – selected aspects,” 2018. https://doi.org/10.18276/EJSM.2018.27/2-08
  29. J. Čizmić et al., „Impact of new EU General Data Protection Regulation 2016/679 (GDPR) on the protection of personal data in the Republic of Croatia,” 2018. https://doi.org/10.30925/ZPFSR.39.1.13
  30. B. Kościuk, „General Data Protection Regulation (GDPR) – The EU Law Strengthening the Information Society in Poland,” 2018. https://doi.org/10.15290/BSP.2018.23.02.10
Kategoria: Analiza
Prowadzisz organizację trzeciego sektora, taką jak stowarzyszenie, fundację czy spółdzielnię socjalną? Skorzystaj z bezpłatnego programu "Mapa Rozwoju Cyfrowego"! Oferujemy indywidualnie przygotowaną mapę rozwoju cyfrowego, doradztwo ekspertów oraz szkolenia z narzędzi i metod pracy cyfrowej - to wszystko bezpłatnie. Dołącz już dziś!
piotr-maczuga
Piotr Maczuga
Specjalista w dziedzinie wykorzystania nowych technologii w edukacji dorosłych. Tworzę i wdrażam produkty łączące marketing i edukację. Współautor metodyk i podręczników dotyczących webinariów, webcastów i knowledge pills. Kieruję Fundacją Digital Creators oraz pracuję jako niezależny producent. Pomagam firmom wejść w świat cyfrowych multimediów, łącząc digital learning, multimedia, social media i content marketing.

Powiązane treści

Waszym zdaniem:

Mapa Rozwoju Cyfrowego Organizacji
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.