Publicystyka - ngo.pl

W pierwszej kolejności, stowarzyszenie powinno ustalić, jakie dane osobowe konkretnie zamierza gromadzić oraz w jakim celu. O zakresie pozyskiwanych danych osobowych decyduje samo stowarzyszenie, jednak określając, jakie dane będzie przetwarzać, powinno wziąć pod uwagę kilka podstawowych zasad.

Zasada adekwatności oznacza, że dane osobowe powinny być przetwarzane wyłącznie w konkretnym celu. Zatem Stowarzyszenie musi wiedzieć, po co dane gromadzi i czemu to ma służyć.

Przykładowo, stowarzyszenie zostało założone w celu integracji określonej społeczności, np. osób wykonujących określony zawód, specjalistów, ekspertów z danej dziedziny. Zgodnie ze statutem stowarzyszenia jego członkami mogą być wyłącznie osoby wykonujące określoną profesję. O przyjęciu nowego członka decyduje zarząd stowarzyszenia, bazując na wypełnionej przez członka deklaracji członkowskiej. Zarząd ma prawo odmówić przyjęcia w poczet członków osoby niespełniającej kryteriów członkowskiej. W takiej sytuacji pozyskanie od osoby ubiegającej się o członkostwo w stowarzyszeniu informacji na temat jej doświadczenia zawodowego może okazać się konieczne do dokonania weryfikacji kandydatury, a także do późniejszej realizacji stosunku członkostwa. Pozyskanie danych osobowych o doświadczeniu zawodowym danej osoby w tym przypadku jest celowe i zgodne z zasadą adekwatności.

Zasada minimalizacji danych oznacza, że stowarzyszenie powinno gromadzić dane tylko w takim zakresie, który jest niezbędny do osiągnięcia ustalonego wcześniej celu. Przykładowo do identyfikacji członka konieczne jest uzyskanie jego imienia, nazwiska oraz np. numeru PESEL. Jednocześnie, gromadzenie informacji na temat imienia, nazwiska, numeru PESEL oraz numeru dowodu osobistego może okazać się nadmiarowe. Zarówno PESEL, jak i dowód osobisty, to numery identyfikacyjne. Do potwierdzenia tożsamości danej osoby wystarczające jest posiadanie jednego z tych numerów, brak jest uzasadnienia do gromadzenia dwóch danych.

Dodatkowo, w kontekście gromadzonych danych, stowarzyszenie powinno pamiętać o tzw. zasadzie ograniczonego przechowywania danych osobowych, która oznacza, że stowarzyszenie powinno wiedzieć jak długo określone dane członka będzie przechowywać. Co istotne, RODO nie narzuca określonych terminów. Ustalenie takiego czasu każdorazowo powinno być dokonane przez administratora danych osobowych, tj. przez stowarzyszenie. 

Co do zasady, zakończenie członkostwa będzie oznaczało utratę przynajmniej niektórych celów, ze względu na które dane osobowe zostały zgromadzone. Zatem nieaktualna stanie się podstawa ich dalszego przetwarzania, w tym również przechowywania (pamiętajmy, że przechowywanie to również forma przetwarzania danych osobowych). Z drugiej strony, może się okazać, że stowarzyszenie znajdzie uzasadnienie do dalszego przetwarzania określonych danych w innych celach niż pierwotny cel ich przetwarzania. Przykładowo, jeżeli członek stowarzyszenia nie opłacał składek członkowskich, do których zapłaty był zobowiązany zgodnie ze statutem stowarzyszenia i z tego powodu został wykluczony ze stowarzyszenia, ma ono prawo przechowywać jego dane osobowe w celu dochodzenia zapłaty składek lub też w celu weryfikacji danego członka pod kątem możliwości ponownego przystąpienia do stowarzyszenia (część statutów zabrania ponownego przyjęcia w poczet członków, osób które wcześniej zostały wykluczone z powodu braku płatności składek). 

Być może pewne dane osobowe członka powinny być również przechowywane dla celów realizacji przez stowarzyszenia obowiązków sprawozdawczych wobec podmiotu finansującego realizację np. określonego projektu. Pewne dane osobowe mogą być również przechowywane do celów archiwizacyjnych. To, jak długo stowarzyszenie będzie przechowywać określone dane, będzie w dużej mierze uzależnione od tego, czy będzie istniał cel ich przechowywania. Jeżeli celu zabraknie, dane powinny zostać usunięte.  

Stowarzyszenie powinno jednocześnie pamiętać, że każdorazowo okres ten powinien być ograniczony do minimum. Co do zasady brak jest uzasadnienia do przechowywania danych osobowych przez kilkadziesiąt lat lub bezterminowo.

Kolejna kwestia, która jest istotna z punktu widzenia prawidłowego przetwarzania danych osobowych, to konieczność ustalenia podstawy prawnej przetwarzania danych. Są one wskazane w art. 6 (w przypadku danych zwykłych) oraz art. 9 (w przypadku danych wrażliwych) RODO. Należy pamiętać, że zgoda nie stanowi jedynej podstawy prawnej uprawniającej administratora do przetwarzania danych osobowych. Jest to jedna z wielu przesłanek, która powinna być stosowana w przypadku, w którym brak jest możliwości zastosowania innej.

Dane osobowe członków stowarzyszenia w zakresie danych zwykłych (czyli dane takie jak imię i nazwisko, numer PESEL, adres zamieszkania), co do zasady będą przetwarzane na podstawie umowy – w celu realizacji stosunku członkostwa (art. 6 ust. 1 lit. b RODO).

Zdaniem niektórych podstawą przetwarzania wspomnianych danych zwykłych może być również realizacja obowiązków prawnych stowarzyszenia w związku z wymogami ustawy - Prawo o stowarzyszeniach, w szczególności w zakresie nabycia członkostwa w stowarzyszeniu, wykonywania praw i obowiązków członka stowarzyszenia. W kontekście jednak ww. orzeczenia SN, zawarcie i realizacja umowy wydaje się bardziej trafnym rozwiązaniem.

Nie ulega natomiast wątpliwości, że dane osobowe członków stowarzyszenia mogę być przetwarzane w celu realizacji obowiązków stowarzyszenia wynikających z przepisów ustawy o rachunkowości w związku z koniecznością ewidencjonowania wpływu składek członkowskich do kasy lub na konto bankowe stowarzyszenia (art. 6 ust. 1 lit. c RODO).

Dane osobowe członka stowarzyszenia mogą być przetwarzane również ze względu na uzasadniony interes organizacji, którym jest możliwość dochodzenia roszczeń wynikających z realizacji stosunku członkostwa (art. 6 ust. 1 lit. f RODO). Brak płatności składek członkowskich może bowiem stanowić podstawę do wystąpienia przez organizację przeciwko członkowi (lub byłemu członkowi) z roszczeniami o ich zapłatę.

Zdarza się, że stowarzyszenia, oprócz danych zwykłych swoich członków, przetwarzają również tzw. dane wrażliwe, czyli dane dotyczące np. zdrowia, seksualności, poglądów politycznych, religii czy światopoglądu. Podstawy do przetwarzania danych wrażliwych można poszukiwać w art. 9 ust. 2 lit. d RODO, zgodnie z którym zakaz przetwarzania nie ma zastosowania, jeżeli „przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą”.

Kolejna zasada dotyczy przejrzystości i rzetelności przetwarzania danych. Co to oznacza w praktyce? Członek stowarzyszenia, którego dane są przetwarzane powinien posiadać informacje m.in. o tym kto przetwarza jego dane osobowe, w jakim celu, jak długo, na jakiej podstawie, kto ma dostęp do tych danych. W stosunku do członka stowarzyszenia powinien zostać spełniony tzw. obowiązek informacyjny i powinny zostać mu przekazane wszystkie informacje, które wylicza art. 13 RODO. Należy pamiętać, że obowiązek informacyjny powinien zostać spełniony w sposób zwięzły i przejrzysty. Informacje powinny być zrozumiałe i łatwo dostępne. Stowarzyszenie powinno posługiwać się jasnym i prostym językiem. 

Organizacje bardzo często zastanawiają się, kiedy taki obowiązek powinien być spełniony i w jakim miejscu powinna być umieszczona klauzula informacyjna, a także w jakiej formie powinna być sporządzona.

RODO nie narzuca konkretnej formy, w jakiej powinien być spełniony obowiązek informacyjny. Informacje mogą być udzielone na piśmie, ale także w inny sposób, w tym również w formie elektronicznej. Informacje powinny zostać przekazane najpóźniej w momencie zbierania od członka jego danych osobowych. Nie ma konieczności odbierania oświadczeń o zapoznaniu się z informacjami o przetwarzaniu danych od osób, których dane osobowe przetwarza organizacja. Stowarzyszenie powinno jedynie umożliwić swojemu członkowi zapoznanie się z informacjami, o których mowa powyżej.  W praktyce obowiązek informacyjny najlepiej spełnić pod deklaracją członkowską, którą wypełnia członek stowarzyszenia. Dodatkowo można umieścić klauzulę informacyjną na stronie stowarzyszenia, w miejscu, w którym stowarzyszenie udostępnia informacje o zasadach przystąpienia w poczet członków.

Gromadząc dane osobowe swoich członków, stowarzyszenie powinno również pamiętać o odpowiednim ich zabezpieczeniu. Dane powinny być chronione nie tylko przed ich utratą, ale również przed zniszczeniem, uszkodzeniem, niedozwolonym czy niezgodnym z prawem przetwarzaniem. Jednocześnie również w tym zakresie RODO nie narzuca konkretnych rozwiązań. Nie mówi, jakie środki powinny być podjęte celem zapewnienia odpowiedniego stopnia bezpieczeństwa. Dobór zarówno technicznych jak i organizacyjnych środków należy do stowarzyszenia. Ważne jest to, żeby środki były skuteczne i adekwatne do zagrożeń na jakie narażone są dane osobowe. Dostęp do danych członków powinny mieć tylko osoby upoważnione.

• Jeżeli dane osobowe przetwarzane są w sposób automatyczny z wykorzystaniem systemów informatycznych, systemy te powinny posiadać odpowiednie zabezpieczenia.
• Jeżeli dane przetwarzane są jedynie w formie papierowej, należy zadbać o to, żeby dokumenty były przechowywane w bezpiecznym miejscu i żeby dostęp do nich mieli jedynie ci pracownicy stowarzyszenia, których w ramach realizowanych przez siebie obowiązków służbowych potrzebują pracować na wspomnianych danych.

Żeby dobrać odpowiednie środki, stowarzyszenie powinno wziąć pod uwagę m.in. charakter, zakres i kontekst przetwarzanych danych, cele przetwarzania danych, ryzyko naruszenia praw i wolności swoich członków, a także stan wiedzy technicznej i koszt wdrożenia konkretnych zabezpieczeń. Małe organizacje przetwarzające jedynie dane zwykłe swoich członków będą korzystały z innych zabezpieczeń, niż większe podmioty przetwarzające dane wrażliwe swoich członków.

Ostatnią zasadą jest zasada rozliczalności, która oznacza konieczność udowodnienia, że wszystkie powyższe zasady zostały przez stowarzyszenie zrealizowane, oraz że stowarzyszenie przetwarza dane osobowe w sposób zgody z wymogami prawa. Jak wykazać spełnienie tej zasady? Niestety, po raz kolejny, RODO nie daje nam konkretnych odpowiedzi i dużą swobodę w tym zakresie pozostawia administratorowi danych osobowych. Z całą pewnością dowodem na prawidłowe, zgodne z prawem, rzetelne i przejrzyste przetwarzanie danych osobowych będzie:

• przyjęcie w organizacji stosowanych procedur dotyczących przetwarzania danych osobowych,
• uświadamianie i szkolenie pracowników z zakresu konieczności zapewniania bezpieczeństwa przetwarzanym przez nich danym osobowy,
• spełnienie obowiązków informacyjnych wobec osób, których dane osobowe są przetwarzane, stosowanie odpowiednich środków bezpieczeństwa i możliwość wykazania, że ich dobór był świadomy i przemyślany,
• bieżące monitorowanie stosowanych środków i ich dostosowywanie do ewentualnych zmian.

Dobrze byłoby, żeby wszystkie podejmowane przez organizację działania były w należyty sposób dokumentowane. Forma pisemna (np. lista obecności ze szkolenia dotyczącego bezpiecznego przetwarzania danych w organizacji) czy elektroniczna (np. możliwość przedstawienia opublikowanej na stronie internetowej klauzuli informacyjnej skierowanej do członków stowarzyszenia) daje pewniejsze gwarancje i stanowi namacalny dowód, który można przedstawić w przypadku kontroli prowadzonej przez organ nadzoru tj. Prezesa Urzędu Ochrony Danych Osobowych. Forma ustna, pomimo, że również dopuszczalna, może okazać się trudna do udowodnienia. Jednocześnie, należy pamiętać o tym, że każdorazowo dobór prowadzonych działań, stosowanych środków oraz sposób ich udowodnienia będzie zależał od specyfiki danej organizacji, charakteru prowadzonych przez nią działań, struktury organizacyjnej, wielkości itp.

Wyżej omówione zasady będą również aktualne w zakresie przetwarzania innych danych przez organizację takich, jak dane osobowe pracowników, współpracowników, wolontariuszy czy beneficjentów organizacji.

Sfinansowano przez Narodowy Instytut Wolności – Centrum Rozwoju Społeczeństwa Obywatelskiego ze środków Programu Fundusz Inicjatyw Obywatelskich NOWEFIO na lata 2021-2030