RODO. Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny

Przeglądarka Internet Explorer, której używasz, uniemożliwia skorzystanie z większości funkcji portalu ngo.pl. Aby mieć dostęp do wszystkich funkcji portalu ngo.pl, zmień przeglądarkę na inną (np. Chrome, Firefox, Safari, Opera, Edge).

Prośba o wpłatę darowizny na Twój portal ngo.pl prowadzony przez Stowarzyszenie Klon/Jawor.

Publicystyka

RODO. Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny

Natalia Benderska, Jarosław Greser, oprac. poradnik.ngo.pl

23 maja 2018

Niemal każda NGO zbiera lub będzie zbierać dane osobowe. W związku z tym musi stosować się do RODO i wynikających z niego obowiązków. Jednym z nich jest obowiązek informacyjny. Kogo i o czym musimy informować?

pixabay.com, CC0 Public Domain. Autor: geralt

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Będzie dotyczyło ono również przetwarzania danych przez organizacje pozarządowe. Od kilku miesięcy przypominamy o tym w portalu ngo.pl.

Reklama

Zobacz: zebrane informacje dotyczące RODO

Osoby, których dane są zbierane, mają swoje prawa. Przede wszystkim muszą mieć świadomość, kto i do jakich celów zbiera o nich dane, a także jakie to są dane i jak długo będą przechowywane. Mają też m.in. możliwość wglądu w swoje dane czy wyrażenia sprzeciwu – żądania, aby dany podmiot przestał zbierać o nich informacje. Jednym z bardziej znaczących przejawów tego, że osoba, której dane dotyczą decyduje o tym, co można z nimi robić są zgody, o których pisaliśmy wcześniej.

Niezależnie od tego czy organizacja pozarządowa zbiera dane osobowe na podstawie zgód, czy też na innych podstawach (przesłankach legalizujących) – czy pozyskuje dane bezpośrednio od osób, czy z innych źródeł – musi realizować obowiązek informacyjny.

Poniżej przedstawiamy jeden z rozdziałów przygotowywanej przez portal NGO.PL publikacji dotyczącej stosowania RODO przez organizacje pozarządowe. Rozdział ten dotyczy właśnie obowiązku informacyjnego. Całość przygotowywanego przez NGO.PL podręcznika dostępna będzie w formacie PDF już wkrótce!

Obowiązek informacyjny ciąży na administratorze danych osobowych. Zgodnie z zasadą rozliczalności musi on udowodnić, że przekazał informacje wymagane przez RODO osobom, których dane są przetwarzane.

Kolejne zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych (motyw 60 RODO).

Zasadniczym celem obowiązku informacyjnego jest budowanie świadomości osoby, której dane dotyczą o procesie przetwarzania jej danych oraz o związanych z nim prawach w celu ochrony autonomii informacyjnej.

Informacje powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka. Informacje takie można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Informacje te można przekazać na piśmie lub w inny sposób (również elektronicznie).

Informacje są zasadniczo przekazywane bezpłatnie. RODO wprowadza wyjątek od tej zasady, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. Wówczas administrator może pobrać opłatę lub odmówić podjęcia działań w związku z żądaniem. Należy pamiętać, że obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Zakres informacji oraz sposób ich udzielenia zależy od tego, jak administrator pozyskał dane osobowe, które przetwarza – czy dane uzyskał bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), czy z innych źródeł (art. 14 RODO).

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

Z pozyskiwaniem danych osobowych od osoby, której dane dotyczą mamy do czynienia w przypadku, gdy osoba ta sama, świadomie dostarcza administratorowi swoje dane.

Zapamiętaj: W przypadku pozyskiwania danych osobowych bezpośrednio obowiązek informacyjny aktualizuje się w momencie gromadzenia tych danych – czyli informacje muszą być przekazane osobie w momencie, kiedy przekazuje ona dane. Informacje takie mogą być połączone ze zgodą lub ujęte w formie dodatkowej klauzuli informacyjnej.

Pomimo że katalog informacji, które administrator jest zobowiązany podać jest szeroki, administrator nie zawsze podaje wszystkie informacje.

Minimalny zakres informacji, które podaje administrator obejmuje:

tożsamość i dane kontaktowe administratora;
cele oraz podstawę prawną przetwarzania danych;
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
informacje o prawie do żądania od administratora:
- dostępu do danych osobowych dotyczących osoby, której dane dotyczą;
- sprostowania;
- usunięcia;
- ograniczenia przetwarzania;
- o prawie do wniesienia sprzeciwu wobec przetwarzania;
- o prawie do przenoszenia danych;
- o prawie wniesienia skargi do organu nadzorczego.

Zapamiętaj: Są to informacje podstawowe, które administrator jest zobowiązany podać zawsze, każdej osobie, której dane przetwarza.

Ponadto administrator podaje następujące informacje (jeśli go dotyczą):

tożsamość i dane kontaktowe swojego przedstawiciela;
dane kontaktowe inspektora ochrony danych;
oświadczenie o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub nie przez Komisję Europejską odpowiedniego stopnia ochrony danych osobowych w państwie trzecim lub w przypadku przekazania danych wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
prawnie uzasadnione interesy administratora lub osoby trzeciej, jeśli przetwarzanie odbywa się na tej podstawie;
o odbiorcach lub o kategoriach odbiorców danych osobowych;
o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Administrator ma obowiązek podać wszystkie powyższe informacje – jeśli go dotyczą. Przykładowo: kiedy administrator powołał inspektora ochrony danych, to musi podawać informacje o jego danych kontaktowych.

Zapamiętaj: Jeśli administrator planuje przetwarzać dane w innym celu aniżeli zostały one pierwotnie zebrane, ma obowiązek powiadomić o tym osobę, której dane dotyczą, zanim dokona takiego dalszego przetwarzania w zmienionym celu.

Wyjątek od obowiązku informacyjnego – administrator nie musi udzielać osobie, której dane dotyczą informacji, którymi osoba ta już dysponuje.

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

Z pozyskiwaniem danych osobowych w sposób inny niż od osoby, której dotyczą mamy do czynienia, gdy administrator nie pozyskuje danych bezpośrednio. Np. organizacja kupuje bazę danych z nazwiskami osób, do których zamierza wysłać mailing promujący 1%

W takim przypadku udzielenie informacji w momencie pozyskiwania danych jest niemożliwe. Trzeba więc przekazać informacje w rozsądnym terminie – najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli dane osobowe mają służyć do komunikacji z osobą, administrator spełnia obowiązek informacyjny najpóźniej przy pierwszej takiej komunikacji, np. wysyłając maila do takiej osoby. Natomiast w sytuacji, kiedy administrator planuje ujawnić dane osobowe innemu odbiorcy, spełnia obowiązek informacyjny najpóźniej przy ich pierwszym ujawnieniu.

Zakres podawanych informacji w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą nie różni się znacznie od zakresu informacji, które administrator zobowiązany jest podać w przypadku pozyskiwania danych osobowych bezpośrednio.

Administrator podaje więc:

informacje wskazane powyżej – opisane w punktach: a, b, c, d oraz 1, 2, 3, 4, 5, 6 i 8
oraz dodatkowo informuje o:
- kategoriach odnośnych danych osobowych – czyli informacje o rodzaju przetwarzanych danych (np. imię i nazwisko, adres, data urodzenia, ponieważ możemy posiadać ich mniej niż podmiot, od którego dane pozyskaliśmy);
- źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych (np. z KRS).

Administrator jest zwolniony z obowiązku przekazywania informacji jeśli:

osoba, której dane dotyczą, dysponuje już tymi informacjami;
jeżeli udzielenie takich informacji:
- okazuje się niemożliwe lub
- wymagałoby niewspółmiernie dużego wysiłku;
- może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;

W wypadkach wskazanych powyżej administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.

pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Zobacz też inne opracowania o RODO przygotowane z myślą o organizacjach pozarządowych:

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.

Źródło: inf. własna (poradnik.ngo.pl)

Podziel się:

Facebook

Twitter

Skorzystaj ze Stołecznego Centrum Wspierania Organizacji Pozarządowych

(22) 828 91 23

scwo@warszawa.ngo.pl

Pokaż ofertę

Teksty opublikowane na portalu prezentują wyłącznie poglądy ich Autorów i Autorek i nie należy ich utożsamiać z poglądami redakcji. Podobnie opinie, komentarze wyrażane w publikowanych artykułach nie odzwierciedlają poglądów redakcji i wydawcy, a mają charakter informacyjny.

Prośba o wpłatę darowizny. Wesprzyj Twój portal ngo.pl prowadzony przez Stowarzyszenie Klon/Jawor

Przeczytaj też

Kara dla stowarzyszenia za brak reakcji na ujawnienie danych osobowych. Informacja Prezesa UODO

opr. redakcja ngo.pl

17 maja 2024

dane osobowe, RODO
Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach

2 października 2018
Pierwsza kara za naruszenie przepisów RODO

Jarosław Greser dla ngo.pl

17 maja 2019

dane osobowe, RODO
W PORADNIK.NGO.PL: Ochrona danych osobowych w NGO

Redakcja ngo.pl

7 maja 2021

dane osobowe, RODO
RODO: NGO współodpowiada za dane osobowe gromadzone przez fanpage

Jarosław Greser dla ngo.pl

18 listopada 2019

dane osobowe, RODO
RODO a sprawozdania finansowe organizacji pożytku publicznego

Jarosław Greser dla ngo.pl

30 grudnia 2019

dane osobowe, RODO
Nowelizacja ponad 160 ustaw w związku z RODO. Co zmieniło się w sytuacji prawnej NGO-sów. Część 1

Jarosław Greser dla ngo.pl

13 czerwca 2019

dane osobowe, RODO

Publicystyka - ngo.pl