Przejdź do treści głównej

Dane osobowe w organizacji pozarządowej

Z jakimi danymi osobowymi można się spotkać w organizacji pozarządowej.

Jakie dane osobowe możemy posiadać jako organizacja?

Organizacje pozarządowe mogą posiadać różne pojedyncze dane, bądź zbiory danych, m.in. mogą to być dane osobowe:

  • członków;
  • pracowników;
  • podopiecznych i beneficjentów (np. uczestników warsztatów terapii zajęciowej, osób korzystających z porad prawnych, osób oczekujących na adopcję dziecka itd.); często mogą to być dane „wrażliwe” ;
  • wolontariuszy;
  • darczyńców;
  • osób, które przekazały danej organizacji pożytku publicznego 1%;
  • partnerów i współpracowników.
Samo posiadanie danych jest już traktowane jak ich przetwarzanie. A z przetwarzania danych wynikają dla nas różne obowiązki wobec tych danych.

Od czego zależą nasze obowiązki wobec posiadanych danych osobowych?

UWAGA!
Obowiązki zależą od tego jakie dane lub zbiory danych posiadamy i w jakim celu je przetwarzamy.

Jeżeli posiadamy dane członków stowarzyszenia lub pracowników, to naszym najważniejszym obowiązkiem będzie ochrona tych danych. Takich danych nie musimy rejestrować w GIODO, ponieważ inne przepisy prawa umożliwiają nam/lub nas obligują do ich przetwarzania.

Ta sama zasada dotyczy np. darczyńców. Ich dane posiadamy w związku z darowiznami, które nam przekazali, z których musimy się rozliczyć np. przez urzędem skarbowym. Tak więc jeżeli te dane darczyńców mamy tylko co celów sprawozdawczych mamy obowiązek je chronić, ale nie musimy ich rejestrować.
Gdybyśmy jednak „wykorzystali” te dane do innych celów, np. aby podziękować tym darczyńcom, wówczas pojawi się obowiązek rejestracji informacji o zbiorze w GIODO.

Czy to, że jako ngo posiadamy jakieś zbiory danych albo pojedyncze dane, nakłada na nas jakieś obowiązki?

Posiadanie a tym samym przetwarzanie danych osobowych (zarówno pojedynczych przechowywanych w systemie informatycznym jak i w zbiorach danych) nakłada na organizację (jako administratora) różne obowiązki:

  1.  udzielania informacji o zasadach przetwarzania danych (przede wszystkim osobom, których dane osobowe posiada);
  2. przestrzegania zasad: adekwatności, celowości, merytorycznej poprawności, wykorzystywania danych jedynie do czasu osiągnięcia wyznaczonego celu;
  3. respektowania prawa osób, których dane dotyczą, wymienione w art. 32, 33, 35 ustawy (jest to prawo osoby, które dane są przetwarzane do kontroli przetwarzania tych danych, prawo do informacji);
  4. właściwego zabezpieczania, ochrony posiadanych danych;
  5. zgłoszenia zbiór danych do rejestracji GIODO – jeżeli ten zbiór lub dana podlega zgłoszeniu;
  6. stosowania środków technicznych i organizacyjnych które zapewnią ochronę danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochrona (szczególnie powinien dbać, aby dane nie dostały się w ręce osób nieupoważnionych);
  7. prowadzenia dokumentacji opisującą sposób przetwarzania danych oraz środki, o których mowa w pkt. 6;
  8. wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w pkt. 6, chyba że sami wykonujemy te czynności;
  9. zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
  10. prowadzenia ewidencji osób upoważnionych do przetwarzania danych, która powinna zawierać:
  • imię i nazwisko osoby upoważnionej;
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Czy organizacja zawsze potrzebuje zgody danej osoby na przetwarzanie jej danych osobowych? Czy są takie sytuacje, w których nie musi mieć zgody?

Zgoda osoby, której dane posiada organizacja, jest jednym z warunków dopuszczalności przetwarzania danych. Nie zawsze jednak jest konieczna – nie jest wymagana w określonych sytuacjach:

  • jeżeli przetwarzanie jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, np. osoba przekazał darowiznę na rzecz organizacji, organizacja przetwarza jej dane do celów sprawozdawczych przed urzędem skarbowym;
  • umowa, do realizacji której konieczne jest przetwarzanie danych (osoba jest stroną tej umowy), np. umowy pracownicze, umowy cywilnoprawne;
  • jeżeli przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jeżeli przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych (chodzi o każdą, klasyczną ofertę produktów przedsiębiorcy – czyli o sytuację, kiedy przedsiębiorca kupuje gdzieś dane osobowe i potem wysyła do tych ludzi informację o swoich produktach, ale osoba, która otrzyma te informacje może powiedzieć, że sobie nie życzy przesyłania tych ofert); 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Jak powinna wyglądać zgoda na przetwarzanie danych?

Zgoda na przetwarzanie danych musi stanowić oświadczenie woli, nie może być domniemana, a także musi być uzyskana przez przystąpieniem do przetwarzania danych. Zgoda może być udzielona na „teraz” lub na „teraz i na przyszłość”.

Zgoda musi zawierać:
  • cel przetwarzania danych (jeśli celów jest więcej niż jeden to dla każdego z nich odrębna zgoda);
  • zakres ich przetwarzania;
  • podmiot, któremu udzielono zgody.
Zgoda na przetwarzanie danych (formułuje ją np. organizacja i przedstawia do akceptacji danej osobie/osobom) może brzmieć np. tak:
„Wyrażam zgodę na przetwarzanie przez Fundację XYZ (z siedzibą:..) moich danych osobowych (podać dokładnie jakich) w celu...”
 
Zgoda może być udzielona w różnych formach (pisemnie, ustnie) i może być w każdej chwili odwołana.

Czy jako organizacja, posiadając (przetwarzając) dane osobowe różnych osób, mamy wobec tych osób jakieś obowiązki?

Tak, posiadając dane osobowe mamy różne obowiązki wynikające z tego faktu.   

Jednym z nich jest obowiązek informacyjny wobec osób, których dane przetwarzamy. Jeżeli zbieramy dane bezpośrednio od osoby, której one dotyczą, powinniśmy podać tej osobie:
  • adresie swojej siedziby i pełną nazwę organizacji;
  • cel zbierania danych, a w szczególności informację o znanych nam przewidywanych odbiorcach lub kategoriach odbiorców danych;
  • informację o prawie dostępu do treści swoich danych oraz możliwości ich poprawiania;
  • informacje o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje (podania podstawy prawnej takiego obowiązku).
 Jeżeli zbieramy dane od osób trzecich musimy poinformować o tym osobę, której dane dotyczą, podając jej swoje dane, cel i zakres zbierania danych, źródło tych danych, prawie dostępu do ich treści i ich poprawiania oraz możliwości wniesienia przez tę osobę żądania zaprzestania danych.

 

Wyraź opinię 29 4

na skróty / spis treści