Publicystyka - ngo.pl

Na organizacjach pozarządowych – a szczególnie na organizacjach pożytku publicznego (OPP) - ciąży wiele obowiązków. Jednym z nich jest wynikający z art. 23 ust. 2a ustawy o działalności pożytku publicznego i wolontariacie nakaz publikacji sprawozdania finansowego organizacji pożytku publicznego na stronie internetowej OPP. Sprawozdanie to zgodnie z prawem jest dokumentem elektronicznym, podpisanym elektronicznie. Rodzi to problemy związane z ochroną danych osobowych, ponieważ podpis elektroniczny zawiera numer PESEL osoby podpisującej. Jakie działania powinny w takim razie podjąć organizacje, aby działać zgodnie z prawem?

Numer ewidencyjny PESEL, a dokładnie numer identyfikacyjny Powszechnego Elektronicznego Systemu Ewidencji Ludności, stanowi 11 cyfrowy symbol numeryczny, który identyfikuje daną osobę. Ciąg owych cyfr nie jest jednak przypadkowy. Pierwsze z sześciu cyfr odpowiadają dacie urodzenia, w cyfrach od siódmej do dziesiątej zawarty jest numer porządkowy, z zastrzeżeniem, że ostatnia z tych cyfr stanowi oznaczenie płci (cyfra parzysta dla kobiet, nieparzysta dla mężczyzn), ostatnia z cyfr jest z kolei liczbą kontrolną

zobacz: https://obywatel.gov.pl/dokumenty-i-dane-osobowe/czym-jest-numer-pesel

Numer ten może być nadany zarówno z mocy prawa jak i na wniosek. Najczęstszym przykładem okoliczności nadawania numeru PESEL jest sporządzanie aktu urodzenia dziecka. Więcej na ten temat możemy znaleźć w ustawie z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. 2017 poz. 657) oraz na stronie obywatel.gov.pl (odesłanie powyżej).

Numer ten dość precyzyjnie wskazuje naszą osobę będąc jedynym i niepowtarzalnym. W związku z tym jego nieuprawnione wykorzystanie może nastręczyć nam wielu problemów. Zaczynając od tych najprostszych: użycie go do stworzenia fałszywego dowodu tożsamości w celu zaciągnięcia zobowiązań finansowych. Kolejnym przykładem jest zakupu drogiego produktu np. telewizor najnowszej technologii, oczywiście na raty. Przestępstw z użyciem skradzionego numeru PESEL jest coraz więcej. Szacuje się iż do zaciągnięcia zobowiązania finansowego z użyciem skradzionych danych dochodzi średnio co 12 minut (Gazeta Wyborcza, https://krakow.wyborcza.pl/krakow/7,44425,23830939,jedenaste-pilnuj-numeru-pesel.html).

Zgodnie z art. 23 ust. 2a ustawy o działalności pożytku publicznego i wolontariacie organizacje pożytku publicznego obowiązane są do publikacji na swojej stronie internetowej rocznych sprawozdań ze swojej działalności: merytorycznego oraz finansowego.

Z punktu widzenia tego artykułu ważniejsze jest dla nas sprawozdanie finansowe. Musi być ono zgodne z ustawą o rachunkowości, która w art. 45 ust. 1f stanowi, że powinno być ono sporządzone w formie elektronicznej i opatrzone kwalifikowanym podpisem elektronicznym lub profilem zaufanym ePUAP. 

Wyjątek stanowią organizacje nie prowadzące działalności gospodarczej i spełniające przesłanki z art. 10a ustawy o Działalności pożytku publicznego i wolontariacie. Te z kolei prowadzą uproszczoną ewidencję przychodów i kosztów w związku z czym nie są zobowiązane do tworzenia sprawozdania finansowego zgodnie z art. 2 ust. 5 Ustawy o rachunkowości. Organizacje prowadzące uproszczoną ewidencję nie mogą też być organizacjami pożytku, więc tym bardziej nie dotyczą ich rozważania z tego artykułu (więcej informacji na ten temat: Co to jest uproszczona ewidencja przychodów i kosztów).

Warto bliżej przyjrzeć się podpisowi elektronicznemu, ponieważ samo wskazanie w dolnej części dokumentu naszego imienia i nazwiska nie wystarczy do uznania dokumentu za podpisany.

W Polsce kwestię tę regulują dwa akty. Pierwszy z nich to Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE, drugim jest ustawa o usługach zaufania oraz identyfikacji elektronicznej. Zgodnie z Rozporządzeniem kwalifikowany podpis elektroniczny jest to podpis, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Dane osobowe, które używamy do złożenia podpisu elektronicznego muszą być unikatowe i umożliwiać ustalenie naszej tożsamości, np. takie jak numer ewidencyjny PESEL. To właśnie w tym miejscu pojawia się problem. Udostępniając bowiem sprawozdania finansowe udostępniamy dane osobowe podmiotów (osób) je podpisujących, a takie działanie niesie ze sobą konsekwencje.

Udostępnienie na stronie internetowej sprawozdań finansowych z podpisami kwalifikowanymi jest działaniem zgodnym z RODO. Art. 6 ust. 1 lit. c wskazuje nam, że przetwarzanie danych osobowych jest zgodne z prawem w przypadku, gdy jest niezbędne do wypełniania obowiązku prawnego ciążącego na administratorze danych, a właśnie z taką sytuacją mamy tutaj do czynienia.

Administratorem, czyli osobą odpowiedzialną za ustalenie celów oraz sposobów przetwarzania, będzie właśnie organizacja pożytku. Podstawą prawną nakładającą wskazany obowiązek jest art. 23 ust. 2a ustawy o działalności pożytku publicznego i wolontariacie, nakazujący udostępnienie sprawozdań na stronach internetowych OPP. W takim przypadku organizacja staje się Administratorem danych osobowych podmiotów podpisujących sprawozdanie i nakłada to na nią określone zobowiązania.

Warto zauważyć, że w wielu przypadkach organizacja była już wcześniej Administratorem danych osobowych osób, których dane osobowe znaleźć możemy w sprawozdaniu finansowym, ze względu na fakt wcześniejszej współpracy lub bycia członkiem organów organizacji. W tym przypadku należy poinformować osobę, której dane będą przetwarzane o tym, że przetwarzanie będzie się odbywało w innym celu niż pierwotnie podany w momencie uzyskiwania danych zgodnie z art. 13 ust. 3 RODO.

Jeżeli jednak organizacja nie była wcześniej Administratorem owych danych ciąży na niej obowiązek informacyjny z art. 13 lub 14 RODO. W takim przypadku organizacja zobowiązana jest podać osobom, których podpisy znajdują się na dokumencie, swoje dane kontaktowe (jeżeli jednak osoby te są już w posiadaniu tych danych, obowiązek ten nie znajduje zastosowania). Następnie należy wskazać podstawę prawną przetwarzania (wskazany wyżej artykuł z ustawy o działalności pożytku publicznego i wolontariacie) oraz cel przetwarzania czyli udostępnienie sprawozdania do publicznej wiadomości na stronie internetowej. OPP powinna też poinformować o czasie przez jaki dane będą przetwarzane, a gdy nie jest możliwie jego sprecyzowanie, o kryteriach na podstawie, których okres ten będzie ustalany. Ostatnim jednak nie mniej ważnym elementem jest poinformowanie o możliwości wniesienia przez podmiot skargi do organu nadzorczego.

Organizacje pożytku publicznego na udostępnianie sprawozdań wpływu nie mają - oznacza to, że udostępnianie numeru PESEL znajdującego się w podpisie elektronicznym jest ich obowiązkiem, nie zaś wyborem. Sam Krajowy Rejestr Sądowy publikuje numery PESEL ponad miliona osób co wskazuje, że w swoich działaniach organizacje nie są osamotnione. Należy jednak pamiętać, iż zgodnie z RODO w momencie rozpoczęcia przetwarzania owych danych organizacje stają się Administratorami danych osobowych, a to pociąga ze sobą określone obowiązki.