Publicystyka - ngo.pl

RODO stosujemy już od 4 lat, jednak nadal organizacje mają wiele wątpliwości związanych z zapewnieniem zgodności procesów przetwarzania danych osobowych w ramach prowadzonej przez nie działalności z wymogami ogólnego rozporządzenia o ochronie danych. Nadal dużo trudności nastręcza ustalenie prawidłowej podstawy prawnej przetwarzania danych osobowych czy też prawidłowe spełnienie obowiązku informacyjnego wobec osoby, której dane osobowe przetwarza organizacja. 

Ciągle pokutuje przekonanie, że główną przesłanką pozwalającą przetwarzać dane osobowe jest zgoda, która najlepiej, jakby została wyrażona w formie pisemnej. Takie podejście niestety nie jest prawidłowe i nastręcza sporo trudności związanych z uporządkowaniem kwestii dotyczących przetwarzania danych osobowych w sposób prawidłowy oraz możliwie najłatwiejszy.

W zależności od specyfiki swojej działalności, organizacje pozarządowe przetwarzają dane osobowe różnych kategorii osób, w bardzo różnym zakresie, jednocześnie zapewne niemal każda organizacja przetwarza dane osobowe swoich darczyńców. 

Wiele organizacji korzysta ze wsparcia i pomocy osób, które są im przychylne. Organizacje zbierając środki finansowe na realizację swoich celów statutowych jednocześnie gromadzą dane osób, które te środki przekazują. W dobie informatyzacji sposoby pozyskiwania darowizn bardzo się zmieniły i do organizacji, w zależności od wybranej przez darczyńcę formy płatności, może trafiać różny zakres danych dotyczących ich darczyńców. To już nie tylko imię i nazwisko darczyńcy, ale również jego numer rachunku bankowego, adres e-mail. Organizacje bardzo często zastanawiają się, czy powinny od takich osób uzyskać zgodę na przetwarzanie ich danych osobowych i w jakim celu, poza przyjęciem darowizny, mogą te dane przetwarzać. Przyjrzyjmy się temu.

Darowizna w rozumieniu przepisów kodeksu cywilnego to umowa. Dane osobowe darczyńcy są zatem danymi osobowymi jednej ze stron umowy, a ich przetwarzanie przez drugą stronę (stowarzyszenie, fundację) służy właśnie zawarciu i realizacji tej umowy. Część danych może również służyć technicznej obsłudze procesu wpłaty darowizny, co jest ściśle związane z samą umową. Tym samym, przetwarzanie danych osobowych darczyńcy nie wymaga konieczności uzyskania jego zgody. W tym bowiem wypadku, podstawą przetwarzania danych osobowych nie będzie zgoda (czyli art. 6 ust.1 lit. a RODO), tylko zawarcie i wykonywanie umowy, której stroną jest darczyńca (czyli art. 6 ust. 1 lit b RODO). 

Podstawą prawną przetwarzania danych osobowych darczyńców mogą być również obowiązki prawne organizacji wynikające np. z przepisów podatkowych lub rachunkowych (czyli art. 6 ust. 1 lit. c RODO). Skoro przepisy prawa obligują organizację do realizacji konkretnych działań, np. przechowywania przez określony czas dokumentacji rachunkowej, to nie możemy tutaj mówić o dobrowolności przetwarzania danych zawartych w tej dokumentacji (przechowywanie to również przetwarzanie). W zakresie tego celu podstawą przetwarzania danych osobowych darczyńcy również nie będzie zgoda.

Co jednak w przypadku, w którym zgromadzone przez stowarzyszenie/fundację dane osobowe, organizacja będzie chciała wykorzystać w innym celu niż samo zawarcie i realizacja umowy? Organizacja otrzymała darowiznę, środki wpłynęły na rachunek bankowy organizacji, zostały prawidłowo zaksięgowane, jednocześnie wraz z darowizną organizacja pozyskała dane osobowe takie jak adres darczyńcy czy jego adres e-mail. Organizacja pragnie podziękować swojemu darczyńcy za uzyskane wsparcie. Czy w takim przypadku powinna uzyskać zgodę tej osoby, na przetwarzanie jej danych osobowych?

Można taką zgodę uzyskać, jednak działanie w oparciu o taką przesłankę dość poważnie komplikuje sprawę. Trzeba zastanowić się, jak technicznie zorganizować sposób pozyskania takiej zgody, jaka powinna być jej treść. Jednocześnie, jeżeli decydujemy, że działamy w oparciu o taką przesłankę, brak uzyskania zgody uniemożliwia organizacji przekazanie podziękowania.

Przetwarzając dane osobowe, organizacja w pierwszej kolejności powinna się zastanowić, czy nie ma innych podstaw prawnych, z których można skorzystać. RODO (art. 6 RODO) wskazuje sześć podstaw prawnych, które mogą być przez administratora, którym jest organizacja, zastosowane. Zgoda jest jedynie jedną z tych podstaw. Jaką zatem inną podstawę można wybrać?

Z przesłanki tej można skorzystać chociażby w przypadku chęci przesłania darczyńcom podziękowań za wpłaconą przez nich darowiznę czy informacji na temat prowadzonych przez organizację działań statutowych finansowanych m.in. z przekazanej organizacji darowizny. 

Przesłanka prawnie uzasadnionego interesu administratora danych osobowych, może okazać się bardzo przydatną przesłanką również w przypadku przetwarzania danych osobowych w ramach innych procesów, dlatego warto jest zrozumieć na czym ona polega i na jakich zasadach można z niej skorzystać. W przypadku korzystanie z przesłanki tzw. prawnie uzasadnionego interesu administratora danych osobowych (art. 6 ust.1 lit f RODO) ważne jest to, żeby zrozumieć dwie kwestie: po pierwsze, na czym ten interes polega i po drugie, kto decyduje o tym, że interes jest prawnie uzasadniony? 

O tym czy dany interes jest „interesem prawnie uzasadnionym” decyduje sama organizacja. To organizacja ocenia, czy konkretne działanie, z którym wiąże się przetwarzanie danych osobowych jest w jakiś sposób pożyteczne dla prowadzonej przez nią działalności. Innymi słowy, czy służy realizacji jej celów (z zastrzeżeniem, że cele te są zgodne z prawem), czy przynosi korzyści organizacji. Jednocześnie, przetwarzanie danych osobowych na podstawie tej przesłanki nie może mieć miejsca, kiedy nad interesem organizacji przeważają interesy osób, które dane są przetwarzane. Przykładowo, RODO podkreśla, że szczególnej ochronie powinny podlegać dane osobowe dzieci. Dlatego też zastosowanie przesłanki prawnie uzasadnionego interesu w stosunku do dzieci trzeba bardzo poważnie przeanalizować.

Podsumowując, przepisy RODO pozwalają na legalne przetwarzanie danych osobowych, w oparciu o tzw. uzasadniony interes administratora danych. Zastosowanie jednak tej przesłanki wymaga spełnienia kryterium, jakim jest równowaga pomiędzy interesem administratora, a interesem osoby, której dane są przetwarzane. Posługując się wspomnianym przykładem, zachowanie równowagi może okazać się trudne w przypadku, kiedy mamy do czynienia z danymi osobowymi dzieci. W przypadku darczyńców, mamy jednak do czynienia głównie z osobami dorosłymi, zatem w tym procesie przetwarzania danych osobowych, powyższe zastrzeżenie nie będzie miało znaczenia.

RODO w motywie 47, wskazuje, że prawnie uzasadniony interes może istnieć na przykład w przypadku, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład, gdy osoba, której dane dotyczą jest klientem administratora lub działa na jego rzecz. Ważne jest również to, żeby ocenić, czy osoba, której dane będą przetwarzane, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych osobowych w tym celu.

W kontekście powyższego, uzasadnionym wydaje się przyjęcie, że za prawnie uzasadniony interes administratora można uznać przesłanie darczyńcy podziękowań za udzielone mu wsparcie (również w formie mailowej):

• Darczyńca jest osobą, z którym organizacja nawiązała relację. 
• Darczyńca ma świadomość jakie dane osobowe otrzymuje organizacja, zatem może spodziewać się dalszego kontaktu z jej strony. 
• Podziękowanie za darowiznę jest działaniem w interesie organizacji, ponieważ buduje jej pozytywny wizerunek wśród darczyńców, co z kolei może służyć budowaniu wokół organizacji społeczności i stanowić zachętę do dokonywania kolejnych wpłat, bądź też angażowania się w inne działania organizacji.

Wydaje się, że wysyłają podziękowania nie ingerujemy zbyt mocno w prawa i wolności darczyńcy (pod warunkiem, że darczyńca nie poinformował organizacji, że nie chce otrzymywać takich podziękowań), zatem test równowagi najprawdopodobniej nie będzie wskazywał na nadrzędność interesów darczyńcy.

Za taki uzasadniony interes należałoby uznać także możliwość przesłania do darczyńcy (również w formie mailowej) informacji o działalności statutowej organizacji. Przesyłanie takich informacji ma na celu budowanie stałych relacji pomiędzy organizacją a darczyńcami (a tym samym informowania przez organizację o możliwościach dalszego wsparcia), a także rozliczanie się organizacji z wydatkowania środków, które zostały jej przekazane. Jeżeli przesłane informacje będą powiązane z faktem uzyskania od darczyńcy darowizny, np. organizacja będzie chciała się pochwalić zrealizowanym zadaniem sfinansowanym ze środków przekazanych przez darczyńców lub będzie chciała zachęcić do wsparcia inicjatywy podobnej do tej, która została wcześniej przez nią zrealizowana, może oprzeć swoje działania na bazie omawianej przesłanki. Należy jednocześnie pamiętać o istotnym warunku - komunikacja ta nie powinna być uciążliwa i nie powinna być przesyłana w sposób nagminny. W przeciwnym wypadku organizacja może narazić się na zarzut podejmowania zbyt daleko idącej ingerencji w prawa darczyńcy, co z kolei może być podstawą do wykluczenia stosowania przesłanki uzasadnionego interesu NGO.

Skoro już wiemy, że organizacja ma możliwość przesłania darczyńcy zarówno podziękowań za darowiznę, jak i informacji dotyczących realizowanych przez nią działań w ramach swoich celów statutowych bez konieczności uzyskiwania zgody, należałoby jeszcze ustalić jak długo tego typu działania mogą być przez organizację podejmowane. Oczywiście, w każdej sytuacji, w której darczyńca zwróci się do organizacji z żądaniem zaprzestania takiej wysyłki, organizacja zobowiązana jest uszanować jego wolę i zaprzestać kierowania komunikatów. Jednocześnie brak przez dłuższy czas jakiejkolwiek aktywności, interakcji czy zainteresowania darczyńcy, powinien stanowić dla organizacji sygnał do dokonania oceny, czy cel, ze względu na który dane osobowe darczyńcy są przetwarzane, jest nadal aktualny. Ocena najprawdopodobniej doprowadzi do wniosku, że brak jest podstaw prawnych do dalszego przetwarzania danych osobowych darczyńcy w tym celu. Być może darowizna była jednorazowa i darczyńca nie jest zainteresowany uczestniczeniem we wspólnocie budowanej przez organizację. W takim wypadku organizacja powinna zaprzestać przetwarzania danych osobowych. Dobrym rozwiązaniem jest przyjęcie z góry określonego okresu braku kontaktu ze strony darczyńcy, którego upływ spowoduje zaprzestanie wysyłania do niego kolejnej korespondencji. Przykładowo, organizacja przyjmuje zasadę, że w przypadku braku jakiejkolwiek reakcji ze strony darczyńcy przez okres dłuższy niż rok, organizacja zaprzestaje przesyłania informacji. Długość okresu przetwarzania danych osobowych (chwila, w którym dane osobowe powinny zostać usunięte) i zasady usunięcia tych danych powinny zostać ujęte w wewnętrznej dokumentacji administratora - w tzw. polityce retencji.

O czym jeszcze należy pamiętać? Z całą pewnością o konieczności spełnienia obowiązku informacyjnego wobec darczyńcy organizacji. Obowiązek informacyjny powinien być spełniony w momencie pozyskiwania danych osobowych, zatem najlepiej, żeby odpowiednia klauzula znalazła się w miejscu, w którym informujemy o możliwości przekazania darowizny lub, w przypadku zbiórek dokonywanych za pomocą systemu płatności udostępnionego na stronie internetowej, na takiej stronie. 

Obowiązek informacyjny może być spełniony warstwowo. Oznacza to, że jeżeli nie mieścimy się z przekazaniem pełnej informacji w jednym miejscu, możemy taką informację przekazać w skróconej wersji, jednocześnie linkując do pełnej klauzuli umieszczonej np. na stronie internetowej organizacji. 

Klauzula informacyjna powinna zawierać wszystkie elementy określone w art. 13 RODO, w tym m.in. powinna wskazywać na cele i podstawy przetwarzania danych osobowych. W takiej klauzuli powinna znaleźć się informacja, że dane które zostają organizacji przekazane będą również przetwarzane w celu przesłania podziękowań za udzielona darowiznę, czy wysłania informacji o podjętych czy planowanych działaniach statutowych organizacji. Jednocześnie należy umożliwić darczyńcom, złożenie sprzeciwu wobec otrzymywania powyższych informacji, np. informując ich, że jeżeli nie życzą sobie ich przesyłania mogą przesłać stosowną wiadomość na wskazany przez organizację adres mailowy. Warto w takiej klauzuli określić, czy podziękowania będą miały charakter jednorazowy oraz jak często organizacja może wysyłać informacje związane z jej działalnością czy np. z wydatkowaniem środków otrzymanych w ramach darowizny. 

Warto także przekazać możliwe szczegółową informację, tak, żeby darczyńca dokładnie wiedział co się z jego danymi będzie działo i w jaki sposób będą przetwarzane przez organizację.

Prawidłowe stosowanie przepisów RODO nie jest kwestią prostą, często wymaga bardzo szczegółowej analizy konkretnych procesów i bardzo indywidualnego podejścia. Stosowane przez organizację rozwiązania mogą być różne, jednak warto poszukiwać takich, które okażą się najprostsze do wdrożenia. Takim najprostszym rozwiązaniem wcale nie musi być zgoda! Ważne, żeby osoba, której dane organizacja przetwarza miała świadomość celu i sposobu przetwarzania jej danych. Organizacja powinna pamiętać, że zgoda nie jest jedyną przesłanką pozwalającą na legalne przetwarzanie danych osobowych i niezależnie od tego, czy chodzi o dane darczyńców, czy dane innych osób, ważne żeby taką przesłankę ustalić.

Nie zbierasz darowizn na swojej stronie www? Poznaj Wpłacam >>> 

Sfinansowano przez Narodowy Instytut Wolności – Centrum Rozwoju Społeczeństwa Obywatelskiego ze środków Programu Fundusz Inicjatyw Obywatelskich NOWEFIO na lata 2021-2030