Publicystyka - ngo.pl

Zgodnie z definicją zawartą w RODO (czyli w ogólnym rozporządzeniu o ochronie danych osobowych) dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Nie ma przy tym znaczenia, czy są to dane pojedyncze, takie jak nazwisko czy data urodzenia, czy całe zestawienia informacji znajdujące się na przykład w aktach pracowniczych – w obu przypadkach mamy do czynienia z danymi osobowymi.

Zgodnie z RODO zidentyfikowana osoba fizyczna jest osobą, którą można zidentyfikować nie tylko bezpośrednio, ale również pośrednio. Identyfikatorami są więc zarówno imiona i nazwiska, jak i przynależność do organizacji lub bycie przewodniczącym Rady Rodziców (więcej w: „Zasady przetwarzania danych osobowych w ogólnym rozporządzeniu o ochronie danych osobowych”).

Dane osobowe dzielą się na zwykłe i szczególne kategorie danych nazywane też danymi wrażliwymi. Ustalenie, do której kategorii danych należy jakaś informacja, wymaga sprawdzenia czy jest ona wskazana w art. 9 ust. 1 RODO. Przepis ten wskazuje na informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, które służą jednoznacznemu zidentyfikowaniu osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Katalog danych wrażliwych z art. 9 ust. 1 jest zamknięty. Oznacza to, iż do katalogu danych wymienionych w tym przepisie nie można włączać innych kategorii danych. Jeżeli jakaś kategoria nie została wymieniona w art. 9 ust. 1 to będzie miała charakter danych zwykłych. Nie wchodzą więc do katalogu danych wrażliwych dane dotyczące wynagrodzenia i miejsca pracy, adresy email, nr NIP, PESEL, numer konta bankowego czy dane dotyczące wykształcenia.

Na gruncie obowiązującej przed RODO ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., katalog danych osobowych wrażliwych obejmował informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Artykuł 9 ust. 1 RODO wyłącza z katalogu danych wrażliwych dane dotyczące wyroków skazujących oraz naruszeń prawa (nie wymienia ich). Nie oznacza to jednak, iż te informacje mogą być przetwarzane w sposób dowolny. Art. 10 RODO wskazuje, iż mimo wyłączenia (nieuwzględnienia) tych danych z katalogu danych wrażliwych ich przetwarzanie musi znajdować oparcie w przepisach prawa krajowego lub unijnego. Inaczej mówiąc nawet za zgodą osoby nie możemy wymagać zaświadczenia o niekaralności, jeżeli wymóg ten nie wynika wprost z przepisów. Dlatego w przypadku organizacji kolonii możemy wymagać od kierownika wypoczynku takiego zaświadczenia na podstawie art. 92p Ustawy o systemie oświaty. Natomiast zatrudniając sekretarkę nie możemy, ponieważ nie ma przepisów regulujących działanie tej grupy zawodowej.

Przetwarzaniem danych osobowych są wszystkie operacje, które są na nich wykonywane. Na przykład zbieranie, utrwalanie, zestawianie czy usuwanie. Zarówno w przepisach obowiązujących przed wejściem w życie RODO, jak i teraz, wprowadzony jest wyraźny zakaz przetwarzania danych wrażliwych, chyba że jest to wyraźnie dozwolone w jednym z wyjątków. Wyłączenia te znaleźć można w art. 9 ust. 2 lit. a-j RODO. Wyłączenia-wyjątki opisywane są w opracowaniach (i w samym RODO) jako podstawy prawne przetwarzania, a także jako „przesłanki”.

• Pierwszym z wyjątków jest zgoda. Musi być ona udzielona w jednym lub kilku konkretnych celach. Cele te powinny być wskazane wprost i w sposób niepozostawiający wątpliwości co do zakresu przetwarzania (więcej m.in. w: Wszystko o zgodzie na przetwarzanie danych osobowych).
• Drugą przesłanką jest przetwarzanie, które jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora danych lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (art. 9 ust. 2 lit. b). Oznacza to, iż administrator danych ma prawo przetwarzać dane wrażliwe jeżeli wynika to z obowiązujących przepisów prawa. Przykładem przetwarzania danych na tej podstawie jest przetwarzanie orzeczenia o stopniu niepełnosprawności, aby móc zapewnić odpowiednie warunki pracy dla osoby niepełnosprawnej.
• Kolejna przesłanka dotyczy sytuacji gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Przez „żywotny interes” należy rozumieć sytuację mające istotne znacznie dla życia osoby fizycznej. Odnosi się to zarówno do interesów niemajątkowych, jak życie czy zdrowie, jak i też związanych z majątkiem.
• Następna przesłanka pozwala na przetwarzanie danych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (art. 9 ust. 1 lit. e). Upublicznienie jest rozumiane jako przekazanie informacji kręgowi osób, który nie jest określony. W przypadku wątpliwości należy pamiętać, że ciężar dowodu spoczywa na administratorze. Należy również pamiętać, iż upublicznienie rozumiane jest również jako udostępnienie danych w internecie (wyrok Sądu Najwyższego z dnia 17 kwietna 2018 r., sygn. IV KK 296/17). Dlatego jeżeli jakaś osoba ogłosi na Facebooku, że zachorowała na nowotwór i prosi o wsparcie to informacja ta, choć jest daną wrażliwą, może być przetwarzana przez organizację.
• Przesłanką wskazaną w art. 9 ust. 2 lit. f RODO jest przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń przez administratora danych. Dotyczy to zarówno spraw, które są prowadzone przed sądem, jak i w postępowaniu administracyjnym. Dlatego ta przesłanka pozwala przetwarzać informację o poglądach politycznych byłego pracownika, który twierdzi, że został zwolniony w związku z ich posiadaniem. Celem takiego przetwarzania ma być obrona w procesie o dyskryminację w miejscu pracy.
• Szóstą przesłanką dopuszczającą przetwarzanie danych wrażliwych jest przesłanka wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych osobowych (art. 9 ust. 2 lit. g RODO). W praktyce warunek ten będzie niemożliwy do spełnienia przez organizacje pozarządowe, ponieważ nie sprawują one władztwa publicznego. Natomiast nie może on być interpretowany, jako realizacja zadań publicznych w rozumieniu ustawy o pożytku publicznym i wolontariacie.
• Organizacje pozarządowe prowadzące różnego rodzaju placówki (np. przychodnie), w ramach których współpracują z lekarzami lub pielęgniarkami posiadają uprawnienie do przetwarzania danych wrażliwych wynikające z art. 9 ust. 2 lit. h RODO. Przesłanka ta pozwala administratorowi danych przetwarzać dane wrażliwe, jeśli jest to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego czy leczenia. Należy pamiętać, że przepis ten ma zastosowanie jeżeli dane są przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej.
• Kolejną przesłanką jest przetwarzanie niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożenia zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych (art. 9 ust. 2 lit. i RODO). Jest to przesłanka, która w z zdecydowanej większości przypadków nie odnosi się do działalności prowadzonej przez organizacje pozarządowe, gdyż dotyczy administratorów danych objętych obowiązkiem tajemnicy zawodowej.
• Ostatnią z przesłanek wymienionych w art. 9 RODO jest przetwarzanie niezbędne dla celów archiwalnych w interesie publiczny, do celów badań naukowych lub historycznych lub do celów statystycznych. Na niniejszej przesłance przetwarzanie danych wrażliwych będzie możliwe przez organizacje pozarządowe prowadzące np. badania historyczne lub zajmujące się prowadzeniem działań statystycznych.

Niezależnie od wskazanych powyżej przesłanek RODO przewiduje specjalne regulacje dotyczące przetwarzania danych wrażliwych przez organizacje pozarządowe.

Zakres stosowania tego przepisu obejmuje wszystkie organizacje pozarządowe w rozumieniu art. 3 ust. 2 Ustawy o działalności pożytku publicznego i o wolontariacie. Będzie on obejmował również grupy nieformalne, o ile przetwarzanie danych wrażliwych jest związane z celami grupy.

Trzeba pamiętać, że kwestia prowadzenia działalności gospodarczej nie ma znaczenia w przypadku stosowania przepisu RODO. Termin „niezarobkowy” przetłumaczony został z angielskiego tytułu, w który użyty został zwrot „non-for-profit”, co wskazuje, iż swym zakresem obejmował on będzie każdy podmiot, którego głównym celem nie jest działalność gospodarcza.

Warunkiem na przetwarzanie danych wrażliwych na podstawie art. 9 ust. 2 lit. d RODO jest również określenie kręgu osób, których on dotyczy. Wskazanie członków lub byłych członków stowarzyszenia nie będzie powodowało nadmiernych komplikacji, jednak w przypadku fundacji wskazane kategorie pojęciowe (członkostwo) nie istnieją. Można jednak uznać, że przepis będzie miał zastosowanie do członków organów fundacji. Nie ma przy tym znaczenia, czy członkowie ci podlegają obowiązkowi ujawnieniu w Krajowym Rejestrze Sądowym czy też nie.

Problematyczna jest kategoria osób utrzymujących stałe kontakty w związku z celami podmiotu. Kategoria ta jest bowiem kategorią relatywnie wąską. Za przykład osób objętych wskazanym terminem podać można rodziców dziecka otrzymującego wsparcie od danej organizacji. Zawarta w przepisie przesłanka stałego kontaktu wymaga określonej jego częstotliwości jednak nie jest ona w żaden sposób określona. W przypadku sporu będzie ona oceniana przez sąd lub organ indywidualnie.

Należy pamiętać, że dane osób, z którym podmiot utrzymuje stały kontakt mogą być przez niego przetwarzane tylko w okresie trwania tego kontaktu. Po jego zakończeniu, jeżeli osoba ta nie jest członkiem organizacji, przesłanka ustaje, a przetwarzanie danych wrażliwych staje się bezprawne.

Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach