Przejdź do treści głównej

RODO. Kiedy NGO może zbierać dane osobowe

Organizacje pozarządowe, które zbierają dane osobowe, muszą wiedzieć, w jakim celu to robią. Muszą też znać tzw. przesłankę legalizującą zbieranie danych. Przesłanki wymienia RODO, a organizacja pozarządowa ma obowiązek wskazać, która z przesłanek pozwala jej np. na przetwarzanie danych członków stowarzyszenia czy zbieranie informacji o darczyńcach.

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Będzie dotyczyło ono również przetwarzania danych przez organizacje pozarządowe. Od kilku miesięcy przypominamy o tym w portalu ngo.pl (zobacz zebrane informacje dotyczące RODO).  

Przesłanki zbierania danych ZWYKŁYCH przez organizacje pozarządowe

Organizacja pozarządowa, która chce przetwarzać tzw. dane osobowe zwykłe (np. dane swoich darczyńców, wolontariuszy, pracowników), musi mieć tzw. przesłankę legalizującą – czyli spełniać określone warunki. RODO wskazuje 6 przesłanek – warunków (zobacz treść artykułu w podstawach prawnych na końcu tekstu).

Jedną z przesłanek z RODO jest zgoda – przesłankę tę omawialiśmy już w oddzielnym tekście (zobacz: „Kiedy i jaka zgoda na przetwarzanie danych osobowych”).


Które przesłanki będą stosować organizacje pozarządowe najczęściej?

Z punktu widzenia NGO, przede wszystkim będą to następujące przesłanki przetwarzania danych osobowych:

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Wskazane tu 4 przesłanki legalizujące zbieranie danych zwykłych, najczęściej stosowane w organizacjach pozarządowych, omówione są bardziej szczegółowo poniżej.


> Przetwarzanie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze 

Obowiązek prawny ciążący na administratorze, o którym mowa w RODO, musi wynikać z podstawy prawnej określonej w prawie Unii Europejskiej lub w prawie państwa członkowskiego. W Polsce podstawą taką mogą być jedynie akty prawne wymienione w Konstytucji. 

Warto zauważyć, że sam obowiązek nie jest samodzielnie przesłanką legalizującą przetwarzanie danych. Konieczne jest, aby zawsze wynikał z przepisów prawa. Ponadto przetwarzanie w celu wypełniania obowiązku prawnego musi być – dla realizacji tego celu – niezbędne.

Przykładem przepisów, które nakładają na organizacje pozarządową obowiązek przetwarzania danych osobowych konkretnych osób, będą przepisy prawa pracy, przepisy ubezpieczeniowe i przepisy podatkowe, w przypadku kiedy NGO zatrudnia pracowników.


> Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej 

Kolejną przesłanką wymienioną w RODO jest ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. 

Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej.

Sformułowanie „żywotne interesy” oznacza interesy, które mają znaczenie dla życia osoby, której dane dotyczą lub życia innej osoby. Są to sytuacje, gdy przetwarzanie jest niezbędne m.in. „do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka” (fragment motywu 46 RODO). Należy włączyć tutaj także konieczność ratowania życia. Dodatkowo oczywiście, tak jak w przypadku poprzedniej przesłanki, przetwarzanie musi być niezbędne. 

> Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi 

RODO wymienia wykonywanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi jako kolejną przesłankę legalizującą przetwarzanie danych. 

RODO wskazuje, że takie przetwarzanie jest możliwe w obu wskazanych przypadkach, gdy podstawę przetwarzania stanowi prawo Unii lub prawo państwa członkowskiego. RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. 

Przez zadania realizowane w interesie publicznym rozumie się zadania o charakterze użyteczności publicznej, takie jak zapewnienie oświaty, opieki zdrowotnej i pomocy społecznej.

> Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią

RODO legalizuje przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Nie dotyczy to sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Przepis ten ma charakter klauzuli generalnej, dzięki której umożliwione jest objęcie nim sytuacji, które mogą pojawić się w przyszłości, a które nie zostały jeszcze przewidziane przez ustawodawcę np.: związane z rozwojem technologicznym. 

Pojęcie „prawnie uzasadnionego interesu” należy rozumieć szeroko. Chodzi o zgodne z prawem interesy prawne, gospodarcze i faktyczne. Zgodność z prawem w tym przypadku może oznaczać nie tylko zgodność z powszechnie obowiązującymi aktami prawnymi, ale także z np.: celami statutowymi organizacji. 


Przetwarzanie dla realizacji interesów nie oznacza dopuszczalności przetwarzania wszelkich danych, ale jedynie tych, które są do tego niezbędne. Pojęcie „podstawowe prawa i wolności” powinno być interpretowane obiektywnie na podstawie przepisów europejskich i krajowych. Aby więc móc skorzystać z tej podstawy prawnej niezbędne jest każdorazowo w danym stanie faktycznym przeprowadzenie oceny na ile uzasadniony jest interes administratora, a na ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. To na administratorze leży wykazanie, że prawnie uzasadniony interes administratora lub osoby trzeciej przeważa nad interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą.

Istotne jest, że z tej przesłanki nie mogą korzystać organy publiczne dokonujące przetwarzania danych w ramach realizacji swoich zadań.

Przykłady tych interesów zostały wymienione w RODO i są to np.: 

  • zapobieganie oszustwom;
  • przetwarzanie w celu marketingu bezpośredniego;
  • zapewnienie bezpieczeństwa sieci i informacji.


Przesłanki zbierania danych WRAŻLIWYCH przez organizacje pozarządowe

Jeżeli chodzi o szczególne kategorie danych – tzw. dane wrażliwe – takie jak m.in. pochodzenie rasowe i etniczne, przekonania religijne, dane genetyczne, biometryczne czy dane dotyczące zdrowia, to ich przetwarzanie jest ogólnie zakazane, chyba że zostały spełnione określone warunki wskazane w RODO. 

Innymi słowy, te dane osobowe można przetwarzać na innych podstawach prawnych wskazanych w RODO. Należą do nich m.in.:

  • wyraźna zgoda osoby, której dane są przetwarzane;
  • przetwarzanie niezbędne do wypełnienia obowiązków w dziedzinie prawa pracy;
  • przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
  • przetwarzanie dotyczące danych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

Organizacje pozarządowe będą mogły w szczególności przetwarzać tzw. dane wrażliwe na bazie jeszcze innej podstawy „w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą” (RODO art. 9 ust. 2 lit. d).

Jeszcze inną kategorią danych, przy przetwarzaniu których NGO muszą spełniać określone warunki, są dane dotyczące wyroków skazujących i naruszeń prawa. Przetwarzanie tych danych na podstawie RODO jest reglamentowane i dopuszczalne tylko na podstawie przepisów prawa przewidujących odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą lub „pod nadzorem władz publicznych”.


Podstawy prawne:

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Artykuł 6
Zgodność przetwarzania z prawem

1.Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. 

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

(zobacz cały tekst rozporządzenia)

 


Centrum Pro Bono

Program Centrum Pro Bono jest realizowany przez Fundację Uniwersyteckich Poradni Prawnych od 2007 roku. Inicjatywa Centrum Pro Bono zaspokaja rosnącą potrzebę pomocy prawnej pro bono na rzecz organizacji III sektora. Głównym obszarem działalności Centrum Pro Bono jest pośredniczenie pomiędzy organizacjami pozarządowymi poszukującymi wsparcia prawnego, a prawnikami, chętnymi do świadczenia pomocy prawnej pro bono. Dodatkowo, ścisła współpraca z kancelariami prawnymi i najlepszymi ekspertami w swoich dziedzinach pozwala nam podejmować wyzwania w postaci różnych projektów edukacyjnych i szkoleniowych skierowanych do organizacji non-profit. Obecnie z Centrum Pro Bono współpracuje 30 kancelarii z całej Polski.

Więcej informacji: http://www.centrumprobono.pl/
 

Praktyka Ochrony Danych Osobowych
Kancelaria SSW Spaczyński, Szczepaniak i Wspólnicy Sp.k.

Filipek & Kamiński

Kancelaria SSW powstała w 2009 roku, a nasz zespół składa się obecnie z ponad 100 ekspertów. Jesteśmy jedną z największych polskich kancelarii. Współpracujemy z prawnikami, doradcami podatkowymi oraz ekspertami finansowymi, którzy zdobywali doświadczenie w polskich, a także w międzynarodowych kancelariach prawniczych oraz firmach doradczych wielkiej czwórki. Naszym celem i ideą jest dostarczenie klientom usług, które stanowią wartość dodaną dla ich biznesu. Nie postrzegamy siebie wyłącznie jako doradców, lecz jako partnerów i konsultantów, którzy poprzez kompleksowe zrozumienie klienta i jego potrzeb, dostarczają rozwiązania.

Oprócz naszego know-how oferujemy klientom pełne zaangażowanie we współpracę, profesjonalizm, elastyczność w działaniu, innowacyjne rozwiązania i przejrzystą komunikację opartą na najnowocześniejszych technologiach.

Nasze kompetencje potwierdzają rekomendacje międzynarodowych rankingów prawniczych takich jak Legal 500, Chambers Europe, IFLR 1000, które opierają się wyłącznie na opiniach Klientów. 

Posiadamy biura w Warszawie i Poznaniu, a nasze usługi obejmują podmioty z różnych rejonów Polski i świata dzięki stowarzyszeniu kancelarii TAGLaw.

 


Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.
Informacja własna portalu ngo.pl

Źródło: inf. własna (poradnik.ngo.pl)
Uwaga! Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w portalu www.ngo.pl w innych mediach lub w innych serwisach internetowych wymaga zgody Redakcji portalu!
Wyraź opinię 6 2

Skomentuj

KOMENTARZE

  • czlonkowie stowarzyszenia ~hanewa 25.05.2018, 09:47 A zatem jakie mamy konkretne podstawy prawne do zbierania i przetwarzania danych czlonkow Stowarzyszenia? ODPOWIEDZ
  • ja ~ja 22.05.2018, 09:50 no z rodo bedzie grubo http://poradnik.ngo.pl/wiadomosc/2179118.html ODPOWIEDZ

Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy

  • dane osobowe
  • obowiązki
  • prawo
  • standardy, etyka