Ochrona danych osobowych w stowarzyszeniach i fundacjach

BySylwia Ostrowska

ochrona danych osobowych

Ustawa o ochronie danych osobowych realizuje zapisane w Konstytucji prawo dla każdego z nas do ochrony swojej prywatności i wszystkich danych, które nas dotyczą. Wyznacza zasady przetwarzania danych osobowych i obowiązki instytucji gromadzących nasze dane osobowe i wykorzystujących je w swojej działalności.

Sposób funkcjonowania RODO w organizacji pozarządowej

Organizacja pozarządowa powinna we własnym zakresie ustalić i opracować procedury związane z ochroną danych osobowych. Podczas wdrażania RODO, musi uwzględnić indywidualne potrzeby w tym aspekcie. RODO powinno zostać wprowadzone przez organizację w odniesieniu do tego, jakie dane są w niej przetwarzane. Bardzo istotną sprawą jest też ryzyko ewentualnej utraty danych oraz konsekwencji tym spowodowanych. Oczywistym jest, że nikt, kto znajduje się wewnątrz organizacji pozarządowej, nie chciałby, aby doszło do wycieku jego danych osobistych. Dlatego też, na podstawie tych informacji, organizacje pozarządowe indywidualnie ustalają obowiązujące w jej strukturach przepisy RODO.  Organizacja musi być w stanie udowodnić, że w odpowiedni sposób trzyma pieczę nad przetwarzaniem danych osobowych. Kwestiami, którymi warto się kierować podczas wdrażania RODO są:

  • zgodność z prawem i czytelność wprowadzanych przepisów;
  • z góry określone cele przetwarzania danych;
  • przetwarzanie wyłącznie niezbędnych danych;
  • określony czas przetwarzania danych;
  • dbałość o zabezpieczenia czy zdolność do weryfikacji danych.
Ochrona danych osobowych w organizacjach pozarządowych – fundacje i stowarzyszenia

Każda tego typu organizacja ma dostęp do danych osobowych, najczęściej są to dane członków oraz ich sympatyków. Te dane to np. imiona, nazwiska, numery telefonów czy adresy mailowe. W związku z tym faktem, każda z nich zobowiązana jest do odpowiedniego stosowania zasad bezpieczeństwa oraz przetwarzania danych osobowych zgodnych RODO. Ochrona danych osobowych przetwarzanych przez fundacje czy stowarzyszenia jest zasadnicza ze względu na fakt, że te w większości opierają swoje działania na kontakcie między nią samą, a odbiorcami jej działań. Skutkiem takiego działania jest to, że każda z nich posiada ogromne bazy danych zawierające np. imiona i nazwiska. Dysponując takimi bazami muszą w pełni zapewnić ich bezpieczeństwo oraz bezpieczeństwo przetwarzania tych danych. Jest to często kosztowny proces, w związku z czym dużo małych organizacji nie stać na profesjonalne wdrożenie.

Podstawy prawne przetwarzania danych osobowych np. w Stowarzyszeniach

Podstawy prawne przetwarzania danych określono w art. 6 i 9 RODO. Typowymi przesłankami legalizującymi przetwarzanie danych osobowych w stowarzyszeniach są:

Zgoda – Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych jednym lub w większej liczbie określonych celów. Zgoda osoby oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Np. przesyłanie drogą elektroniczną informacji promujących produkty lub usługi podmiotów współpracujących ze stowarzyszeniem.

Realizacja umowy – Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Np. prowadzenie uzgodnień z kontrahentami w związku z realizacją zawartej umowy.

Obowiązek prawny – Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Stowarzyszeniu np. poprzez wypełnienie obowiązków wynikających z Kodeksu Pracy lub ustawy o rachunkowości

  • Dokumentowanie zdarzeń gospodarczych dla celów podatkowych i rachunkowych;
  • Udostępnianie danych pracowników do urzędu skarbowego.

Żywotny interes – Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Np. powiadomienie rodziny osoby poszkodowanej w wyniku wypadku.

Interes publiczny – Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Np. udział członków stowarzyszenia w projektach realizowanych w interesach publicznych (przy udziale środków publicznych).

Uzasadniony interes – Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Stowarzyszenie, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych np.:

  • Promowanie działalności Stowarzyszenia oraz jego członków poprzez publikację informacji na stronie internetowej Stowarzyszenia;
  • Przetwarzanie danych w celu obrony przed ewentualnymi roszczeniami.
Realizacja praw jednostki pozarządowej

Podczas przetwarzania danych osobowych organizacja, dochowując należytej staranności, musi zadbać o prawa osób fizycznych określone w przepisach RODO. Jako administrator organizacja realizuje w szczególności te w zakresie prawa do:

  • informacji;
  • dostępu do danych;
  • sprostowania danych;
  • ograniczenia przetwarzania;
  • przenoszenia danych;
  • sprzeciwu wobec przetwarzania danych;
  • wycofania zgody na przetwarzanie danych;
  • usunięcia danych.

Osoba, której dane organizacja przetwarza, może wystąpić z żądaniem realizacji swoich praw. Wówczas korzysta ona z form komunikacji z organizacją ogólnie przyjętych. Postać kontaktu należy wyrazić  w klauzuli informacyjnej, przy spełnieniu przez administratora obowiązku informacyjnego. Instytucja udziela danej osobie fizycznej informacji w sposób opisany w klauzuli informacyjnej. Odpowiedź na żądanie realizacji praw przez daną osobę fizyczną należy zrealizować bez zbędnej zwłoki. Nie później niż w terminie 1 miesiąca od daty zgłoszenia żądania przez osobę, której dane dotyczą. Gdy sprawa jest skomplikowana możliwe jest wydłużenie terminu realizacji żądania o kolejne 2 miesiące. Administrator zobowiązany jest, przed upływem 30 dni od daty wpływu żądania, powiadomić osobę, której dane są przetwarzane, o przedłużeniu rozpatrzenia żądania do 2 miesięcy.

Podsumowanie

Każda fundacja czy stowarzyszenie, małe czy duże przetwarza dane osobowe. Więc, aby ochrona danych osobowych w organizacji była skuteczna należy wdrożyć RODO i go przestrzegać. Wyciek, kradzież lub naruszenie ochrony danych osobowych może skutkować nałożeniem upomnienia bądź kary finansowej od Organu Nadzorczego, a także utratą reputacji.

Przykładem może być tu kara nałożona na „Dolnośląski Związek Piłki Nożnej” za niezapewnienie bezpieczeństwa i poufności przetwarzanych danych osobowych, więcej o tym w linku https://uodo.gov.pl/decyzje/ZSPR.440.43.2019

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *