Publicystyka - ngo.pl

NGO, realizując projekty unijne, bardzo często prowadzą szkolenie, staże czy też programy aktywizacyjne, zbierając przy tym bardzo dużo danych, często wrażliwych, od uczestników tych projektów. Nieprawidłowe przetwarzanie danych osobowych, nieprzestrzeganie przepisów RODO może grozić nałożeniem kary na organizacje pozarządowe, utratą dofinansowania czy nawet przedwczesnym zakończeniem realizacji projektu. Dlatego tak istotne jest, aby odpowiedzieć sobie na pytanie, przy realizacje każdego projektu, kto jest administratorem zebranych danych osobowych oraz kto odpowiada za ich przetwarzanie i przechowywanie.

W niniejszym artykule przyjrzę się bliżej zasadom ochrony danych osobowych w przypadku realizacji projektów unijnych przez organizacje pozarządowe i wskażę, jak uniknąć błędów, które mogłyby przysporzyć NGO sporych problemów.

W Polsce ustawą, która reguluje działalność, między innymi, organizacji pozarządowych, jest ustawa z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie.

Zgodnie z art. 3 tej ustawy organizacjami pozarządowymi są:

·         niebędące jednostkami sektora finansów publicznych w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych lub przedsiębiorstwami, instytutami badawczymi, bankami i spółkami prawa handlowego będącymi państwowymi lub samorządowymi osobami prawnymi;

·         niedziałające w celu osiągnięcia zysku – osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej, którym odrębna ustawa przyznaje zdolność prawną, w tym fundacje i stowarzyszenia.

Skrót NGO wywodzi się z angielskiej nazwy Non – Government Organization i w praktyce dotyczy stowarzyszeń i fundacji. Organizacje pozarządowe są powoływane ze źródeł prywatnych (niepowiązanych z żadną władzą państwową) w ramach osiągania celów udzielania pomocy, np. w dziedzinie:

·         pomocy społecznej;

·         kultury, sztuki, sportu;

·         ekologii;

·         rozwoju gospodarczego;

·         aktywizacji zawodowej;

·         działalności wokół dzieci i młodzieży.

Organizacje pozarządowe w Polsce często łączą źródła dofinansowania – wynika to z prostego faktu, że jeden sposób przeważnie nie jest w stanie zapewnić pełnego zapotrzebowania i pokrycia wszystkich kosztów. Najpopularniejszym sposobem finansowania jest pozyskanie środków publicznych, w których mieszczą się środki unijne, granty, dotacje krajowe. NGO, przedstawiając projekty, ubiega się o pozyskanie środków z tych źródeł.

Inne źródła dofinansowania NGO to, między innymi: darowizny i sponsoring prywatny, crowdfunding, składki statutowe, a nawet działalność gospodarcza. NGO może takową prowadzić, pod warunkiem, że uzyskany dochód w całości przekazywany jest na realizację celów statutowych.

W celu ustalenia odpowiedzialności za proces przetwarzania danych osobowych podczas realizacji projektów NGO, warto, aby w pierwszej kolejności przybliżyć bohaterów tego procesu, czyli podmioty, które biorą w tym udział. W pierwszej kolejności jest to oczywiście organizacja pozarządowa, która otrzymuje dofinansowanie, czyli realizator projektu. Otrzymuje on pieniądze od instytucji państwowej (podmiot dofinansowujący), często następuje to za pośrednictwem marszałka województwa czy PFRON-u. Realizator projektu odpowiada za wykonanie projektu i musi rozliczyć się z adekwatnego, uzasadnionego wykorzystania otrzymanych środków finansowych. Realizator projektu-NGO realizuje projekt samodzielnie lub z pomocą innych podmiotów – partnerów (bardzo często są to osoby prowadzące jednoosobową działalność gospodarczą – osoby te, przykładowo, prowadzą w ramach projektu szkolenia; mogą to być również inne podmioty takie jak spółki czy podmioty publiczne – ministerstwa, urzędy).

Końcowym beneficjentem danego projektu, który w wypadku RODO ma bardzo istotne znaczenie, jest uczestnik projektu unijnego. Uczestnikiem jest osobowa fizyczna, która, zależnie od projektu, może być uczestnikiem szkolenia, warsztatów, stażystą nabierającym doświadczenia w ramach aktywizacji zawodowej, czy też osobą potrzebującą wsparcia psychologicznego. Kto konkretnie staje się finalnie uczestnikiem danego projektu jest oczywiście zależne od kryteriów samego projektu. Istotne jednak jest to, że to przede wszystkim od uczestników zbierane są dane osobowe, które są wykorzystywane i przetwarzane podczas realizacji projektu. Ze skuteczności ochrony danych, a przede wszystkim z jej zgodności RODO, musi rozliczyć się administrator, którym zależnie od projektu, mogą być różne podmioty uczestniczące w danym procesie.

Na wstępie należy podkreślić, że najczęściej przy realizacji projektu administratorem danych osobowych jest realizator projektu. 

Sytuacją najbardziej klarowną jest ta, gdy już z umowy o dofinansowanie jasno wynika to, jaka zostaje przypisana rola w procesie przetwarzania danych konkretnemu podmiotowi, tj. kto jest administratorem danych oraz w odniesieniu do jakich danych podmiot pełni tę rolę. Należy bowiem pamiętać o tym, że dany podmiot może faktycznie pełnić rolę administratora względem danego zbioru danych, ale już wobec innego zbioru danych może być podmiotem przetwarzającym. Nie można również wykluczyć, że w danym przypadku dojdzie do współadministrowania.

W praktyce to właśnie z umowy o dofinansowanie oraz specyfiki projektu powinno jasno wynikać to, względem jakich danych realizator projektu jest administratorem danych. Sam kształt umowy oraz określenie roli przy przetwarzaniu danych jest uzależnione od tego, jak wygląda dany projekt. Powinno to wynikać z faktycznych procesów przetwarzania, które mają miejsce.

Gdy z umowy o dofinansowanie projektu jasno wynika, że realizator projektu pełni rolę administratora, to wcale nie oznacza to końca wątpliwości odnośnie do tego, kto pełni jaką rolę w procesie, biorąc pod uwagę w szczególności fakt, że umowa o dofinansowanie jest tylko jedną z wielu umów zawieranych w procesie przetwarzania przy realizacji projektu.

W praktyce NGO musi ustalić rolę w procesie innych podmiotów uczestniczących przy realizacji projektu przy zawieraniu i wykonywaniu pozostałych umów, tj.:

·         pomiędzy realizatorem projektu (NGO) a partnerem, która to umowa ma najczęściej kształt umowy podwykonawczej;

·         pomiędzy realizatorem projektu (NGO) a uczestnikiem, kiedy uczestnik składa wniosek o przystąpienie do projektu i, zależnie od warunków, podpisuje właściwą umowę (np. stażową).

W praktyce ustalenie roli NGO jest relatywnie proste, najczęściej wynika właśnie z umowy o dofinansowanie. Nie wyczerpuje to jednak możliwych wątpliwości. Kluczowe jest bowiem ustalenie, jaką rolę pełni partner oraz podmiot dofinansowujący realizację projektu. W tym zakresie przykładowe opcje mogą być następujące, zależne od specyfiki projektu i jego warunków oraz postanowień właściwej umowy.

Standardem przy wydatkowaniu środków publicznych jest prawo pomiotu dofinansowującego do przeprowadzenia audytu i kontroli projektu, co może skutkować potencjalnym dostępem do przetwarzanych przez realizatora projektu danych osobowych. W mojej ocenie oznacza to, że podmiot dofinansowujący we wskazanym zakresie jest odrębnym administratorem – jego zadania są konieczne do realizacji z uwagi na wymogi projektu, a przede wszystkim przepisy prawa powszechnie obowiązujące, które zobowiązują instytucje publiczne do wydatkowania środków, w tym unijnych w sposób racjonalny i gospodarny.

UWAGA – podmiot dofinansowujący najczęściej może kontrolować realizację projektu przez 5 lat od zakończenia realizacji projektu i przez ten czas może sprawdzać, jak pieniądze zostały w projekcie zagospodarowane.

Niekiedy może zdarzyć się, choć obiektywnie jest to sytuacja dość rzadka, ale możliwa, że podmiot dofinansowujący jest wyłącznym i jedynym administratorem w całym procesie i w umowie wskazuje, że realizator projektu (NGO) jest procesorem, a partnerzy są dalszymi podprocesorami. Jeśli już do takiej sytuacji dochodzi, to powinna ona wynikać z umowy.

Reasumując, najczęściej do niezrozumienia dochodzi właśnie w zakresie ustalenia tego, czy i w jakim zakresie podmiot dofinansowujący jest administratorem danych – co, jak wskazano powyżej, nie powinno budzić wątpliwości z uwagi na uprawnienia kontrolno-nadzorcze tego podmiotu oraz konieczność realizacji związanych z tym własnych obowiązków prawnych. Innym krytycznym obszarem jest ustalenie w procesie roli partnera, szczególnie w niektórych kategoriach projektów.

Przy realizacji projektu zdarza się czasem sytuacja, w której nie ma klasycznego podwykonawcy. Dzieje się tak w wypadku, gdy celem projektu jest aktywizacja zawodowa, a projekt obejmuje uczestników, którymi są osoby bezrobotne, wykluczone cyfrowe czy mieszczące się w innym podobnym kręgu osób potrzebujących wsparcia. Realizator projektu zawiera wtedy umowę trójstronną, stażową, w której, obok realizatora projektu, stroną jest uczestnik – stażysta oraz partner, czyli podmiot, który organizuje staż (przykładowo może nim być urząd). Powstaje w tym przypadku trójstronny stosunek prawny, w istocie każdy podmiot zawiera z każdym odrębną umowę, co może przybrać formę trzech osobnych dokumentów lub jednego trójstronnego. W praktyce zdarza się, że partnerzy nie identyfikują prawidłowo swojej roli w procesie, proponując realizatorowi stażu, aby partner pełnił rolę procesora, a nawet współadministratora.

Należy pamiętać o tym, że specyfika projektu ma w tym zakresie kluczowe znaczenie, w szczególności istotne jest to, kto prowadzi rekrutacje stażystów, kto nadzoruje ich pracę, kto ewidencjonuje ich czas realizacji stażu itp.

Biorąc jednak pod uwagę, że najczęściej to realizator projektu, czyli NGO, jest „pracodawcą” stażysty, wypłaca wynagrodzenie stażowe oraz koordynuje prawidłową realizację stażu, to nie powinno budzić wątpliwości, że to realizator projektu jest administratorem danych. Pytaniem otwartym natomiast czy jest to, czy jest administratorem jedynym. Jeśli bowiem partner zleca zadania stażyście, ewidencjonuje czas realizacji stażu, kontroluje merytoryczną poprawność wykonania stażu, to we wskazanym zakresie również partner powinien pełnić rolę odrębnego administratora z uwagi na przetwarzanie danych we własnych celach oraz przy ustalaniu własnych sposobów przetwarzania.

W przedstawionym powyżej układzie partner niejednokrotnie uważa się za procesora lub współadministratora, lecz najczęściej jest to błędne założenie – jest on samodzielnym administratorem.  Konieczna jest wtedy realizacja wszystkich obowiązków administratora danych osobowych, określonych w RODO.

Beneficjentami projektu są jego uczestnicy i to od nich – pośrednio lub bezpośrednio – zbierane są dane osobowe. Zgodnie z art. 13 i 14 RODO obowiązek informacyjny spoczywa zawsze na administratorze. Dzieje się tak zarówno, gdy dane zbierane są od osoby, której dane dotyczą oraz kiedy są pozyskiwane w sposób inny niż od osoby, której dane dotyczą. Dlatego tak istotne jest określenie, kto jest administratorem przy realizacji projektu, gdyż to on ponosi odpowiedzialność za wywiązanie się z obowiązków nałożonych na niego przez RODO.

Przypomnę, że administrator musi poinformować osoby, których dane dotyczą, między innymi o:

·         swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;

·         gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;

·         informacjach o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

·         okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

·         jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią;

·         o prawie dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania.

Art. 5 RODO zobowiązuje do tego, aby przetwarzanie danych następowało wyłącznie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (lit. e). Musi to być na tyle, na ile to zasadne okres najkrótszy z możliwych, który jednocześnie umożliwi realizację celów postawionych przed realizatorem projektu. Co więcej o jego długości powinny zostać poinformowane osoby, których dane dotyczą.

Najczęściej okres retencji danych wyznaczają przepisy unijne (odpowiednie rozporządzenie określające ramy dofinansowania na dany przedział czasu) dotyczące wydatkowania danej puli środków publicznych oraz przepisy krajowe regulujące takie obszary jak ordynacja podatkowa, ustawa o rachunkowości, ustawa o systemie ubezpieczeń społecznych. W dużym uproszczeniu, nie pozostającym jednak w oderwaniu od realiów wydatkowania środków publicznych, można przyjąć, że standardowym okresem retencji danych jest 5 pełnych lat kalendarzowych upływających na koniec ostatniego roku, liczonych od wydatkowania ostatniej transzy środków publicznych w danym projekcie.

Najczęstsze błędy związane z RODO popełniane przez NGO w projektach unijnych wynikają przede wszystkim z niewiedzy, braku doświadczenia i niewłaściwego zrozumienia roli administratora w kontekście przepisów ochrony danych osobowych.

Jakie zatem najczęstsze błędy można wymienić?

·         niewłaściwe określenie ról w procesie przetwarzania;

·         brak klauzul informacyjnych;

·         brak umów powierzenia;

·         gromadzenie zbyt szerokiego zakresu danych;

·         brak procedur reagowania na incydenty naruszenia danych;

·         nieodpowiedni czas przechowywania danych osobowych.

To tylko niektóre problemy, które dotyczą każdego administratora realizującego projekt unijny. Warto, aby przy realizacji projektów NGO zadbało również o stosowną konsultację prawniczą, gdyż same układy pomiędzy realizatorami i uczestnikami mogą same w sobie być wystarczająco skomplikowane.