Przejdź do treści głównej

RODO. Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny

pixabay.com, CC0 Public Domain. Autor: geralt
Niemal każda NGO zbiera lub będzie zbierać dane osobowe. W związku z tym musi stosować się do RODO i wynikających z niego obowiązków. Jednym z nich jest obowiązek informacyjny. Kogo i o czym musimy informować?

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Będzie dotyczyło ono również przetwarzania danych przez organizacje pozarządowe. Od kilku miesięcy przypominamy o tym w portalu ngo.pl.


Osoby, których dane są zbierane, mają swoje prawa. Przede wszystkim muszą mieć świadomość, kto i do jakich celów zbiera o nich dane, a także jakie to są dane i jak długo będą przechowywane. Mają też m.in. możliwość wglądu w swoje dane czy wyrażenia sprzeciwu – żądania, aby dany podmiot przestał zbierać o nich informacje. Jednym z bardziej znaczących przejawów tego, że osoba, której dane dotyczą decyduje o tym, co można z nimi robić są zgody, o których pisaliśmy wcześniej.

Niezależnie od tego czy organizacja pozarządowa zbiera dane osobowe na podstawie zgód, czy też na innych podstawach (przesłankach legalizujących) – czy pozyskuje dane bezpośrednio od osób, czy z innych źródeł – musi realizować obowiązek informacyjny. 

Poniżej przedstawiamy jeden z rozdziałów przygotowywanej przez portal NGO.PL publikacji dotyczącej stosowania RODO przez organizacje pozarządowe. Rozdział ten dotyczy właśnie obowiązku informacyjnego. Całość przygotowywanego przez NGO.PL podręcznika dostępna będzie w formacie PDF już wkrótce!


Obowiązek informacyjny ciąży na administratorze danych osobowych. Zgodnie z zasadą rozliczalności musi on udowodnić, że przekazał informacje wymagane przez RODO osobom, których dane są przetwarzane.

Kolejne zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych (motyw 60 RODO). 

Zasadniczym celem obowiązku informacyjnego jest budowanie świadomości osoby, której dane dotyczą o procesie przetwarzania jej danych oraz o związanych z nim prawach w celu ochrony autonomii informacyjnej.


Informacje powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka. Informacje takie można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Informacje te można przekazać na piśmie lub w inny sposób (również elektronicznie).

Informacje są zasadniczo przekazywane bezpłatnie. RODO wprowadza wyjątek od tej zasady, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. Wówczas administrator może pobrać opłatę lub odmówić podjęcia działań w związku z żądaniem. Należy pamiętać, że obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Zakres informacji oraz sposób ich udzielenia zależy od tego, jak administrator pozyskał dane osobowe, które przetwarza – czy dane uzyskał bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), czy z innych źródeł (art. 14 RODO). 

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

Z pozyskiwaniem danych osobowych od osoby, której dane dotyczą mamy do czynienia w przypadku, gdy osoba ta sama, świadomie dostarcza administratorowi swoje dane.

Zapamiętaj: W przypadku pozyskiwania danych osobowych bezpośrednio obowiązek informacyjny aktualizuje się w momencie gromadzenia tych danych – czyli informacje muszą być przekazane osobie w momencie, kiedy przekazuje ona dane. Informacje takie mogą być połączone ze zgodą lub ujęte w formie dodatkowej klauzuli informacyjnej.

 

Pomimo że katalog informacji, które administrator jest zobowiązany podać jest szeroki, administrator nie zawsze podaje wszystkie informacje. 

Minimalny zakres informacji, które podaje administrator obejmuje:

  1. tożsamość i dane kontaktowe administratora;
  2. cele oraz podstawę prawną przetwarzania danych;
  3. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  4. informacje o prawie do żądania od administratora:
    • dostępu do danych osobowych dotyczących osoby, której dane dotyczą;
    • sprostowania;
    • usunięcia;
    • ograniczenia przetwarzania;
    • o prawie do wniesienia sprzeciwu wobec przetwarzania;
    • o prawie do przenoszenia danych;
    • o prawie wniesienia skargi do organu nadzorczego.
Zapamiętaj: Są to informacje podstawowe, które administrator jest zobowiązany podać zawsze, każdej osobie, której dane przetwarza.


Ponadto administrator podaje następujące informacje (jeśli go dotyczą):

  1. tożsamość i dane kontaktowe swojego przedstawiciela;
  2. dane kontaktowe inspektora ochrony danych;
  3. oświadczenie o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub nie przez Komisję Europejską odpowiedniego stopnia ochrony danych osobowych w państwie trzecim lub w przypadku przekazania danych wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
  4. prawnie uzasadnione interesy administratora lub osoby trzeciej, jeśli przetwarzanie odbywa się na tej podstawie;
  5. o odbiorcach lub o kategoriach odbiorców danych osobowych;
  6. o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  7. czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  8. o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz  istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  9. jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Administrator ma obowiązek podać wszystkie powyższe informacje – jeśli go dotyczą. Przykładowo: kiedy administrator powołał inspektora ochrony danych, to musi podawać informacje o jego danych kontaktowych. 

Zapamiętaj: Jeśli administrator planuje przetwarzać dane w innym celu aniżeli zostały one pierwotnie zebrane, ma obowiązek powiadomić o tym osobę, której dane dotyczą, zanim dokona takiego dalszego przetwarzania w zmienionym celu.

Wyjątek od obowiązku informacyjnego – administrator nie musi udzielać osobie, której dane dotyczą informacji, którymi osoba ta już dysponuje.

 

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

Z pozyskiwaniem danych osobowych w sposób inny niż od osoby, której dotyczą mamy do czynienia, gdy administrator nie pozyskuje danych bezpośrednio. Np. organizacja kupuje bazę danych z nazwiskami osób, do których zamierza wysłać mailing promujący 1%

W takim przypadku udzielenie informacji w momencie pozyskiwania danych jest niemożliwe. Trzeba więc przekazać informacje w rozsądnym terminie – najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli dane osobowe mają służyć do komunikacji z osobą, administrator spełnia obowiązek informacyjny najpóźniej przy pierwszej takiej komunikacji, np. wysyłając maila do takiej osoby. Natomiast w sytuacji, kiedy administrator planuje ujawnić dane osobowe innemu odbiorcy, spełnia obowiązek informacyjny najpóźniej przy ich pierwszym ujawnieniu.

Zakres podawanych informacji w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą nie różni się znacznie od zakresu informacji, które administrator zobowiązany jest podać w przypadku pozyskiwania danych osobowych bezpośrednio.

Administrator podaje więc:

  • informacje wskazane powyżej – opisane w punktach: a, b, c, d oraz 1, 2, 3, 4, 5, 6 i 8
     
  • oraz dodatkowo informuje o:
    • kategoriach odnośnych danych osobowych – czyli informacje o rodzaju przetwarzanych danych (np. imię i nazwisko, adres, data urodzenia, ponieważ możemy posiadać ich mniej niż podmiot, od którego dane pozyskaliśmy);
    • źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych (np. z KRS).


Administrator jest zwolniony z obowiązku przekazywania informacji jeśli:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami;
  • jeżeli udzielenie takich informacji:
    • okazuje się niemożliwe lub
    • wymagałoby niewspółmiernie dużego wysiłku;
    • może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania; 

W wypadkach wskazanych powyżej administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.

  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
 

 

Zobacz też inne opracowania o RODO przygotowane z myślą o organizacjach pozarządowych: 

 


Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.


Poznaj ofertę SCWO: warszawa.ngo.pl/scwo



Źródło: inf. własna (poradnik.ngo.pl)
Uwaga! Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w portalu www.ngo.pl w innych mediach lub w innych serwisach internetowych wymaga zgody Redakcji portalu!
Wyraź opinię 8 2

Skomentuj

KOMENTARZE

  • Ile lat wstecz? ~Krystyna 25.05.2018, 11:48 Czy ktoś orientuje się ile lat wstecz występuje obowiązek informowania? Jeśli posiadamy dane pozyskane dla celów projektu 4 lata temu, a dokumentacja dla celów archiwalnych musi być przechowywana 5 lat, to czy mamy obowiązek informować osoby, które 4 lata temu te dane podały?. ODPOWIEDZ
  • Deklaracje członkowskie ~Henryk 25.05.2018, 01:07 Nowo wstępujący członkowie stowarzyszenia składają deklarację członkowską, w której zawarte są podstawowe dane osobowe: imię nazwisko, data i miejsce urodzenia, adres zamieszkania, kontakt telefoniczny (mailowy). Stowarzyszenie liczy kilka tysięcy członków, prowadzi działalność na terenie całego kraju, ma strukturę wieloszczeblową, a wspomniane deklaracje przechowywane są najniższym szczeblu, czyli w kolach (jest ich kilkaset). Czy złożenie deklaracji można traktować jako wyrażenie zgody na przetwarzanie danych, czy tez wymagana jest odrębna zgoda. Jak postąpić w przypadku deklaracji złożonych przed wejściem RODO w życie, Dane osobowe przetwarzane są wyłącznie w wewnętrznej działalności stowarzyszenia, nie są przekazywane na zewnątrz. Czy władze naczelne chcąc uniknąć ewentualnej odpowiedzialności za naruszenie zasad RODO przez struktury niższego szczebla powinny opracować i doprowadzić do każdego koła politykę ochrony danych osobowych w stowarzyszeniu? ODPOWIEDZ
  • [+] Rozwiń komentarz Dane z konta bankowego ~Katarzyna 25.05.2018, 10:18 Mam dostęp do danych osób, które wpłacały nam darowizny za pośrednictwem przelewów. Czy powinnam te osoby informować o posiadaniu ich danych? ODPOWIEDZ

Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy

  • dane osobowe
  • obowiązki
  • prawo