Fundacja i stowarzyszenie - ochrona danych osobowych

Zasady przetwarzania danych w fundacjach i stowarzyszeniach oraz jakie są niezbędne obowiązki i dokumenty związane z RODO wymagane w tych organizacjach.

Działalność organizacji pozarządowych (NGO) nierozerwalnie wiąże się z przetwarzaniem danych osobowych. Każda fundacja czy stowarzyszenie posiada bazy danych swoich członków, sympatyków, wolontariuszy oraz darczyńców. W codziennym funkcjonowaniu typowe działania obejmują ewidencję osób wspierających, obsługę wpłat czy prowadzenie list mailingowych i newsletterów. Dane przetwarzane są także w ramach akcji społecznych, w tym zbierania podpisów, zarządzania wolontariatem czy udzielania bezpośredniej pomocy beneficjentom i podopiecznym.

Podstawowe zasady przetwarzania

W takich organizacjach realizacja celów statutowych musi łączyć się z zapewnieniem bezpieczeństwa informacji i ochrony danych osobowych. W sektorze pozarządowym powstał kodeks dobrych praktyk w zakresie przetwarzania danych osobowych w organizacjach społecznych. Kodeks ten, zatwierdzony przez Urząd Ochrony Danych Osobowych, wskazuje na siedem głównych zasad przetwarzania:

1. Zgodność z prawem, rzetelność i przejrzystość - dane muszą być przetwarzane w oparciu o wyraźną podstawę prawną, a forma komunikacji z osobami, których dane dotyczą powinna być zrozumiała i prosta.

2. Ograniczenie celu - nie wolno zbierać danych „na zapas”, a jedynie w konkretnych dla danej organizacji celach statutowych.

3. Minimalizacja danych - można zbierać tylko te dane, które są niezbędne do realizacji celu  (np. do newslettera wystarczy zebranie adresów e-mail, nie jest potrzebny np. nr PESEL).

4. Prawidłowość - dane muszą być aktualne; błędne informacje należy niezwłocznie usuwać lub korygować.

5. Ograniczenie przechowywania -  tylko tak długo jak jest to konieczne do realizacji celu.

6. Integralność i poufność - zapewnienie, że dane są chronione przed nieuprawnionym dostępem, nieautoryzowaną zmianą lub zniszczeniem.

7. Rozliczalność - administrator musi być w stanie wykazać, że przestrzega powyższych zasad.

Na jakiej podstawie organizacje pozarządowe mogą przetwarzać dane?

Najczęstsze przesłanki legalizujące przetwarzanie danych w tym sektorze to:

• Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) to podstawa, która pozwala m.in. na kontaktowanie się z członkami organizacji, prowadzenie ewidencji korespondencji czy informowanie o działaniach statutowych. Jej zastosowanie wymaga uprzedniego przeprowadzenia oraz udokumentowania tzw. testu równowagi czy interes administratora nie przeważa nad prawami osób, których dane dotyczą.

• Umowa (art. 6 ust. 1 lit. b RODO) - podstawa np. przy wpłatach od darczyńców (umowa  darowizny) czy zawieraniu porozumień z wolontariuszami (umów o wolontariat).

• Zgoda (art. 6 ust. 1 lit. a RODO) jest stosowana pomocniczo, np. przy publikacji wizerunku uczestników konkursów czy prelegentów.

• Szczególne uprawnienie dla tego sektora wynika z art. 9 ust. 2 lit. d RODO. Przy zachowaniu odpowiednich zabezpieczeń przetwarzania szczególnych kategorii danych dokonuje się w ramach uprawnionej działalności przez fundacje i stowarzyszenia lub inne podmioty niezarobkowe o celach politycznych, światopoglądowych, religijnych lub związkowych. Warunkiem jest że przetwarzanie to dotyczy wyłącznie obecnych lub byłych członków podmiotu oraz osób w stałym kontakcie jeśli ich dane nie są ujawniane na zewnątrz bez ich zgody.

Obowiązki dokumentacyjne

Dokumentacja powinna być kompleksowa, adekwatna, proporcjonalna do skali działań organizacji oraz poziomu ryzyka. Fundamenty dokumentacji w sektorze NGO są następujące:

1. Rejestry i ewidencje

• Rejestr Czynności Przetwarzania Danych to kluczowe narzędzie, w którym organizacja  inwentaryzuje procesy związane z ewidencją członków, wolontariuszy czy darczyńców.

• Ewidencja osób upoważnionych czyli wykaz pracowników i wolontariuszy z dostępem do danych osobowych.

• Rejestr naruszeń ochrony danych zawierający informacje o incydentach bezpieczeństwa, okolicznościach naruszenia, ich skutkach i podjętych działaniach.

• Rejestr osób, które wyraziły sprzeciw wobec komunikacji (np. marketingowej lub statutowej).
  

2. Polityki, instrukcje i procedury

• Polityka Ochrony Danych Osobowych zawierająca m.in. ogólne zasady i cele organizacji dotyczące ochrony danych.

• Instrukcje zarządzania systemami informatycznymi z wytycznymi bezpiecznego korzystania.

• Procedury obsługi praw osób czyli kroki jakie organizacja podejmuje w odpowiedzi na żądania osób, których dane dotyczą.

3. Umowy i upoważnienia

• Imienne upoważnienia do przetwarzania danych,

• Umowy powierzenia przetwarzania danych

• Umowy o współadministrowaniu - w projektach realizowanych z innymi organizacjami gdy wspólnie ustalane są cele i sposoby przetwarzania.

4. Analizy i oceny (podejście oparte na ryzyku)

• Dokumentacja analizy ryzyka.

• Ocena skutków dla ochrony danych (DPIA) w procesach wysokiego ryzyka, jak masowe przetwarzanie danych wrażliwych (np. dane o zdrowiu, światopoglądzie).

• Testy uzasadnionego interesu - niezbędne, gdy organizacja opiera przetwarzanie danych na art. 6 ust. 1 lit. f RODO.

5. Komunikacja zewnętrzna

• Klauzule informacyjne (np. na stronie internetowej, w formularzach papierowych).

• Wzory zgód z informacją o celu, danymi administratora (współadministratorów) oraz obowiązkiem informacyjnym.

Podsumowanie

Ochrona danych w NGO to proces ciągły, który wymaga jednak nie tylko kompleksowej dokumentacji, ale również regularnych szkoleń dla personelu i wolontariuszy, aktywnego zarządzania ryzykiem oraz przejrzystej komunikacji z osobami, których dane dotyczą.

Jeżeli szukacie Państwo wsparcia w temacie RODO dla fundacji lub stowarzyszenia to zapraszamy do kontaktu. RODO Grupa przeprowadzi audyt, wdrożenie, szkolenia, lub zaproponuje stałe wsparcie z funkcją IOD - Inspektora Ochrony Danych. Nasza wiedza i zdobyte doświadczenie pomagają obsługiwanym przez nas jednostkom zachować najwyższy standard ochrony danych osobowych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.

Dodatkowe informacje:

• Pogotowie RODO - błyskawiczna pomoc w dziedzinie ochrony danych osobowych

• Inspektor lub wsparcie w zakresie ochrony danych osobowych dla firm i instytucji

• Wszystkie ważne wiadomości dot. RODO dla podmiotów medycznych