Publicystyka - ngo.pl

Kwestia ochrony danych osobowych uregulowana jest w Rozporządzeniu Ogólnym o Ochronie Danych (RODO) (EU 2016/679) oraz krajowej ustawie o ochronie danych osobowych, obowiązujących od 25 maja 2018 r., a także szeregu innych ustaw jak np. ustawa o działalności pożytku publicznego i o wolontariacie w odniesieniu do przetwarzania danych osobowych wolontariuszy czy pracowników na podstawie kodeksu pracy. Nie w każdej sytuacji wymagana jest pisemna zgoda na przetwarzanie danych, ale w każdym przypadku konieczna jest podstawa prawna.

Wśród podstaw prawnych legitymujących do przetwarzania zwykłych danych osobowych wymienia się: zgodę osoby, umowę, obowiązek prawny (np. kodeks pracy – w skrócie KP), żywotne interesy osoby, której dane dotyczą, zadania realizowane w interesie publicznym lub w ramach sprawowania władzy powierzonej administratorowi czy prawnie uzasadniony interes administratora. W kontekście NGO szczególnie istotny jest też zapis odnoszący się do przetwarzania danych wrażliwych, zgodnie z którym jest ono możliwe wyłącznie m.in. w ramach uprawnionej działalności fundacji, stowarzyszeń (oraz innych  niezarobkowych podmiotów o celach politycznych, światopoglądowych, religijnych lub związkowych)  -  pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

Dane osobowe to wszystkie informacje, które identyfikują lub mogą identyfikować konkretną osobę fizyczną. Rozróżnia się dane osobowe zwykłe (np. imię i nazwisko, adres zamieszkania, adres e-mail czy numer telefonu) i dane wrażliwe, będące szczególną kategorią danych jak np. pochodzenie etniczne, stan zdrowia, poglądy polityczne, religijne czy dane biometryczne. 

Do najważniejszych zasad w odniesieniu do ochrony danych osobowych zalicza się m.in.: zasadę zgodności z prawem (podmiot przetwarzający musi mieć podstawę prawną do przetwarzania), zasadę celowości (dane mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach) czy zasadę minimalizacji danych (administrator może przetwarzać tylko dane niezbędne do konkretnego celu). Ponadto dane powinny być przechowywane przez czas nie dłuższy niż jest to niezbędne do założonych celów i mieć zapewniony odpowiedni poziom bezpieczeństwa.

W kontekście organizacji pozarządowych, poza wspomnianymi przypadkami wolontariuszy i pracowników, do przetwarzania danych bardzo często dochodzić może w związku z realizacją projektów, gdzie szczególnie narażone mogą być dane osobowe beneficjentów (uczestników szkoleń, webinarów, warsztatów czy konferencji), a także subskrybentów newslettera, jeżeli NGO takowy prowadzi.

Do ewentualnych naruszeń może dochodzić również przy bezprawnym udostępnianiu danych (np. w postaci zdjęć z wydarzeń) sponsorom, partnerom, grantodawcom, a także pozostałym kontrahentom, klientom czy członkom stowarzyszeń.

Obowiązek przestrzegania przepisów RODO dotyczy także organizacji pozarządowych mających status OPP zbierających 1,5 % podatku i otrzymujących dane podatników – darczyńców. Warunkiem dalszego przekazania w takiej sytuacji danych np. osobom obdarowanym, jest uzyskanie wcześniejszej zgody. W przypadku natomiast prowadzenia zbiórki za pomocą mediów społecznościowych (FB, IG) lub platform crowdfundingowych NGO mają obowiązek przestrzegania obowiązującej tam polityki prywatności. Należy też pamiętać, że nowe obowiązki w zakresie standardów ochrony małoletnich wprowadziła obowiązująca od 2024 r. tzw. ustawa kamilkowa.

W szczególnych przypadkach konieczne może być powołanie Inspektora Danych Osobowych (monitorującego w danym podmiocie zgodność z RODO), wymagane np. dla podmiotów publicznych lub sytuacji, gdy główna działalność polega na przetwarzaniu szczególnej kategorii danych osobowych na dużą skalę. Obowiązkowe może być również prowadzenie rejestru przetwarzania danych (np. jeżeli organizacja zatrudnia powyżej 250 osób czy istnieje ryzyko naruszenia praw i wolności osób, których dane dotyczą). W szczególnych przypadkach administrator danych ma też obowiązek przeprowadzenia oceny skutków dla ochrony danych (np. przetwarzanie wrażliwych danych na dużą skalą).

W odniesieniu do ochrony danych osobowych w NGO istotne jest przeprowadzenie analizy ryzyka, stworzenie na tej podstawie odpowiedniej polityki wewnętrznej i dobranie stosownych środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa. Należy też mieć na uwadze, że w przypadku nieprzestrzegania przepisów mogą grozić surowe kary zarówno administracyjne (nawet do 20 mln euro lub 4 % wartości rocznego światowego obrotu przedsiębiorstwa), cywilnoprawne (w przypadku powstania szkody), jak i karne.

Organizacje pozarządowe mają obowiązek stosowania przepisów RODO. W kontekście NGO do naruszeń najczęściej może dochodzić w związku z przetwarzaniem danych osobowych wolontariuszy, pracowników, ale również uczestników webinarów, warsztatów czy subskrybentów newslettera. Ochronie prawnej podlegają również dane darczyńców, sponsorów czy członków stowarzyszeń. W przypadku naruszeń należy liczyć się z surowymi sankcjami administracyjnymi (nawet do 20 mln euro lub 4 % wartości rocznego światowego obrotu przedsiębiorstwa), cywilnoprawnymi, a nawet karnymi.