Z danymi członków mamy do czynienia najczęściej w stowarzyszeniach. Stowarzyszenia stanowią najliczniejszą grupę wśród organizacji pozarządowych w Polsce. Zobacz jak zgodnie z RODO postępować z danymi osobowymi członków.
Źródła pozyskania danych osobowych członków
Opracowanie jest fragmentem publikacji autorstwa Moniki Trzcińskiej "Ochrona danych osobowych w organizacji pozarządowej. Praktycznie o RODO", dostępnej w sklep.ngo.pl.
Dane członków stowarzyszenia organizacja otrzymuje bezpośrednio od osób zainteresowanych członkostwem. Wiele organizacji prosi swoich członków o wypełnienie deklaracji członkowskiej, w ramach której podają oni swoje dane osobowe. Organizacja powinna zatem zadbać o spełnienie wobec swojego przyszłego członka obowiązku informacyjnego zgodnie z treścią art. 13 RODO.
zobacz:
Podstawa prawna przetwarzania danych członków
Statut stowarzyszenia należy uznać za umowę cywilnoprawną zawartą pomiędzy członkami stowarzyszenia (tak stwierdził Sąd Najwyższy w wyroku z dn. 9 kwietnia 2015 r., sygn. akt II CSK 392/14). Zatem realizacja praw i obowiązków członka stowarzyszenia (w tym obowiązek dokonywania płatności składek członkowskich) stanowi zobowiązanie wynikające z umowy (statutu), której stroną jest członek stowarzyszenia. Tym samym należy uznać, że dane osobowe członków stowarzyszenia w zakresie danych zwykłych, co do zasady będą przetwarzane na podstawie umowy – w celu realizacji stosunku członkostwa (art. 6 ust. 1 lit. b RODO).
Dane osobowe członka stowarzyszenia mogą być przetwarzane również ze względu na uzasadniony interes organizacji, którym jest możliwość dochodzenia roszczeń wynikających z realizacji stosunku członkostwa (art. 6 ust. 1 lit. f RODO). Brak płatności składek członkowskich może bowiem stanowić podstawę do wystąpienia przez organizację przeciwko członkowi (lub byłemu członkowi) z roszczeniami o ich zapłatę.
Dane osobowe członków stowarzyszenia mogę być przetwarzane także w celu realizacji obowiązków organizacji wynikających z przepisów ustawy o rachunkowości w związku z koniecznością ewidencjonowania wpływu składek członkowskich do kasy lub na konto bankowe stowarzyszenia (art. 6 ust. 1 lit. c RODO).
Jednocześnie podstawy do przetwarzania szczególnych kategorii danych osobowych będzie można poszukiwać w art. 9 ust. 2 lit. d RODO, zgodnie z którym zakaz przetwarzania nie ma zastosowania, jeżeli „przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą”. Przesłanka ta daje podstawę do przetwarzania szczególnych kategorii danych osobowych członków, jak również byłych członków stowarzyszenia.
Zakres przetwarzanych danych członków
Zakres przetwarzanych danych osobowych będzie uzależniony od charakteru danego stowarzyszenia i od prowadzonej przez nie działalności. Niektóre stowarzyszenia przetwarzają jedynie podstawowe informacje o swoich członkach, takie jak imię i nazwisko. Inne mogą przetwarzać dane wrażliwe, takie np. jak dane dotyczące pochodzenia rasowego, etnicznego, seksualności, poglądów politycznych, religii czy światopoglądu. Należy pamiętać, że zakres przetwarzania danych osobowych nie może być dowolny. Zgodnie z zasadą minimalizacji (zobacz: Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach) organizacja może przetwarzać tylko takie dane, które są niezbędne do osiągnięcia celu ich przetwarzanie.
Wskazówka
Przetwarzanie danych osobowych członka wymaga ustalenia, które dane osobowe są niezbędne organizacji do osiągnięcia celu przetwarzania tych danych. Zakres danych osobowych wskazywanych w deklaracji członkowskiej nie powinien wykraczać poza cel, w którym ta deklaracja jest składana, tj. przystąpienie do organizacji. Skoro organizacja przyjmuje nowego członka, powinna móc w jakiś sposób zidentyfikować taką osobę. Przekazanie przez członka tylko i wyłącznie imienia i nazwiska może być do tego niewystarczające. Jednak równoczesne gromadzenie łącznie takich danych jak seria i numer dowodu osobistego oraz numer PESEL może zostać uznane za gromadzenie danych nadmiarowych. Jednoczesne zbieranie dwóch danych osobowych (w postaci numeru PESEL i nr dowodu) pozwalających na ustalenie tożsamości jednej konkretnej osoby może bowiem zostać uznane za naruszenie zasady minimalizacji.
Okres przechowywania danych członków
Okres przechowywania danych osobowych, podobnie jak w innych przypadkach, jest uzależniony od celu przetwarzania danych. Dopóki trwa członkostwo, istnieje cel, ze względu na który organizacja przetwarza dane osobowe. Po zakończeniu stosunku członkostwa dane osobowe należy usunąć, chyba że z jakichś konkretnych powodów powinny być przechowywane dłużej. Przykładowo, ze względu na potencjalne możliwości wystąpienia z roszczeniami (chociażby o niezapłacone składki) czas ich przechowywania powinien zostać wydłużony do momentu przedawnienia tych roszczeń.
Powyższe opracowanie jest fragmentem publikacji autorstwa Moniki Trzcińskiej "Ochrona danych osobowych w organizacji pozarządowej. Praktycznie o RODO", dostępnej w sklep.ngo.pl.
dane osobowe, RODO
dane osobowe, RODO