Spis treści
Fundacja niemal przetwarza dane osobowe na wielu płaszczyznach, bo jej działalność opiera się na relacjach z ludźmi: darczyńcami, beneficjentami, wolontariuszami, pracownikami, partnerami i osobami kontaktowymi po stronie instytucji. W praktyce są to nie tylko dane identyfikacyjne i kontaktowe, lecz często również informacje wrażliwe kontekstowo – np. dotyczące sytuacji życiowej podopiecznych, dokumentacji potwierdzającej uprawnienia do wsparcia, rozliczeń darowizn, a nierzadko także wizerunku (zdjęcia z wydarzeń, publikacje historii beneficjentów). RODO w fundacji jest systemem zasad, który ma chronić osoby, których dane dotyczą, i jednocześnie pozwalać fundacji działać sprawnie.
Z perspektywy ryzyka najważniejsze jest to, że organizacje pozarządowe funkcjonują na kapitale zaufania. Naruszenie ochrony danych – nawet wynikające z prostego błędu organizacyjnego – szybko przekłada się na reputację, relacje z darczyńcami i gotowość beneficjentów do zgłaszania się po pomoc. Dlatego sensowne wdrożenie RODO w fundacji powinno być projektowane „pod procesy”: jak fundacja pozyskuje dane, gdzie je przechowuje (papier/IT), kto ma dostęp, jak długo dane są potrzebne i jakie zabezpieczenia faktycznie działają. Dobrze ustawiony system ochrony danych ma wspierać cele statutowe, a nie blokować działalność – porządkuje obieg informacji i minimalizuje ryzyko w miejscach, które w fundacjach są najbardziej newralgiczne: praca wolontariuszy, komunikacja mailowa, publikacje wizerunku i prowadzenie akcji pomocowych.
Sposób funkcjonowania RODO w fundacji
Fundacja czy stowarzyszenie musi samodzielnie ułożyć zasady ochrony danych tak, aby były spójne z jej realnym sposobem pracy. W praktyce oznacza to stworzenie procedur i reguł, które odpowiadają na konkretne pytania: jakie dane organizacja zbiera (od darczyńców, wolontariuszy, beneficjentów, partnerów), w jakich procesach to robi, gdzie te dane trafiają (papier, arkusze, CRM, poczta e-mail, chmura), kto ma do nich dostęp i jak długo są potrzebne. Bez takiej „mapy danych” wdrożenie łatwo staje się zbiorem ogólnych dokumentów, które nie przekładają się na codzienną praktykę.
Kluczowym elementem jest też ocena ryzyka w kontekście realnych scenariuszy: zagubione dokumenty z rekrutacji beneficjentów, wysłanie załącznika do niewłaściwego adresata, udostępnienie pliku w chmurze publicznie, dostęp wolontariuszy do danych szerszy niż potrzebny, czy publikacja materiałów promocyjnych z wizerunkiem lub historią podopiecznych bez jasnych zasad. Organizacja ma obowiązek nie tylko stosować ochronę danych, ale również umieć wykazać, że robi to w sposób uporządkowany i adekwatny (zasada rozliczalności). W NGO to szczególnie ważne, bo praca bywa projektowa, zespoły się zmieniają, a dane „krążą” między ludźmi i narzędziami.
Przy projektowaniu wdrożenia warto trzymać się kilku stałych reguł, które stanowią rdzeń RODO i dobrze sprawdzają się w praktyce organizacji pozarządowych:
- legalność i przejrzystość – organizacja ma wiedzieć, na jakiej podstawie przetwarza dane, i jasno informować o tym osoby, których dane dotyczą;
- celowość – dane zbiera się w konkretnym celu i nie „przy okazji” na zapas;
- minimalizacja – gromadzi się tylko te informacje, które są realnie potrzebne do działania (np. do udzielenia wsparcia albo rozliczenia darowizny);
- retencja – z góry ustala się, jak długo dane są przechowywane i co dzieje się z nimi po upływie tego czasu;
- prawidłowość danych – organizacja powinna mieć sposób na aktualizację i korygowanie danych, gdy się zmieniają;
- bezpieczeństwo i rozliczalność – zabezpieczenia muszą odpowiadać ryzyku, a organizacja powinna potrafić wykazać, kto miał dostęp do danych i jakie zasady obowiązywały w danym procesie.
Tak rozumiane wdrożenie polega na ustawieniu powtarzalnych standardów pracy, które chronią ludzi i jednocześnie nie blokują misji NGO.
Podstawy prawne przetwarzania danych w NGO
W organizacjach pozarządowych legalność przetwarzania danych najczęściej opiera się na art. 6 RODO, a gdy wchodzą w grę dane szczególne (np. zdrowie, niepełnosprawność, poglądy, przynależność związkowa) – dodatkowo na art. 9 RODO. W praktyce kluczowe jest to, aby nie budować wszystkiego na zgodzie, tylko dobierać podstawę do celu i relacji z osobą, której dane dotyczą.
Zgoda (art. 6 ust. 1 lit. a)
Sprawdza się tam, gdzie organizacja chce zrobić coś „ponad to”, co wynika z przepisów lub relacji organizacyjnej – zwłaszcza w komunikacji marketingowej i promocyjnej. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, więc odpada jako „zapasowa” podstawa do wszystkiego. Przykład praktyczny: wysyłka newslettera fundraisingowego, publikacja dodatkowych treści promocyjnych, udostępnienie danych partnerom akcji – o ile to nie wynika z innej podstawy i jest realnie dobrowolne.
Wykonanie umowy lub działania przedumowne (art. 6 ust. 1 lit. b)
Ta podstawa jest typowa przy relacjach z kontrahentami (umowy o świadczenie usług, dostawy, umowy zlecenia) oraz wtedy, gdy osoba fizyczna zawiera umowę z NGO albo oczekuje działań przed jej zawarciem. Przykład: uzgodnienia z wykonawcą warsztatów, obsługa umowy zlecenia koordynatora projektu, rozliczenia usług.
Obowiązek prawny (art. 6 ust. 1 lit. c)
Najbardziej „twarda” podstawa tam, gdzie NGO musi spełnić obowiązki wynikające z przepisów – zwłaszcza w obszarze kadr, płac, księgowości i sprawozdawczości. Przykłady: prowadzenie dokumentacji pracowniczej i rozliczeń, dokumentowanie zdarzeń gospodarczych dla celów rachunkowych i podatkowych, przekazywanie danych do ZUS i urzędu skarbowego.
Żywotny interes (art. 6 ust. 1 lit. d)
Stosowana incydentalnie, w sytuacjach „awaryjnych”, gdy chodzi o ochronę życia lub zdrowia. Przykład: wypadek na wydarzeniu i konieczność przekazania informacji służbom lub osobie bliskiej poszkodowanego.
Zadanie w interesie publicznym (art. 6 ust. 1 lit. e)
W NGO pojawia się głównie wtedy, gdy organizacja wykonuje zadania publiczne powierzone jej w określonym trybie (np. w ramach realizacji zadania publicznego finansowanego ze środków publicznych) i przetwarzanie jest konieczne do wykonania tego zadania. To bywa zależne od konstrukcji programu i podstawy prawnej powierzenia.
Prawnie uzasadniony interes (art. 6 ust. 1 lit. f)
Częsty fundament w NGO, o ile przejdziesz „test równowagi” i nie naruszysz praw osób. Przykłady: prowadzenie korespondencji operacyjnej, podstawowe działania informacyjne o działalności organizacji (bez wchodzenia w kanały wymagające odrębnych zgód), dochodzenie lub obrona przed roszczeniami, zapewnienie bezpieczeństwa infrastruktury IT.
Dane szczególne w NGO
Jeżeli NGO przetwarza dane szczególnych kategorii (np. zdrowie beneficjenta, informacje o niepełnosprawności, czasem dane ujawniające światopogląd w ramach działalności statutowej), to samo wskazanie art. 6 nie wystarczy – potrzebujesz jeszcze przesłanki z art. 9 ust. 2.
Kadry i „wewnętrzne” procesy pracownicze – art. 9 ust. 2 lit. b, h oraz l RODO
W obszarze kadrowym (rozumianym szerzej niż tylko klasyczny stosunek pracy) dane szczególne pojawiają się najczęściej „przy okazji” absencji, badań, zdolności do pracy czy świadczeń. W zależności od sytuacji w praktyce wykorzystuje się:
- art. 9 ust. 2 lit. b RODO – gdy przetwarzanie jest niezbędne do wykonywania szczególnych praw i obowiązków w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (czyli to, co realnie „wynika z obowiązków kadrowo-płacowych” i przepisów).
- art. 9 ust. 2 lit. h RODO – gdy dane są przetwarzane dla celów medycyny pracy / oceny zdolności pracownika do pracy lub zarządzania systemami i usługami opieki zdrowotnej (w praktyce: obieg dokumentów i informacji związanych z medycyną pracy i zdolnością do wykonywania zadań).
- art. 9 ust. 2 lit. l RODO – gdy przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, badań naukowych lub historycznych albo do celów statystycznych, przy zachowaniu warunków z art. 89 ust. 1 (to może mieć znaczenie np. przy uporządkowanej archiwizacji danych kadrowych w ramach obowiązków dokumentacyjnych, ale ta przesłanka jest „wrażliwa” i wymaga ostrożnego uzasadnienia oraz minimalizacji).
Działalność statutowa NGO – art. 9 ust. 2 lit. d RODO
Dla organizacji pozarządowych szczególnie istotna jest przesłanka:
- art. 9 ust. 2 lit. d – przetwarzanie w ramach uprawnionej działalności fundacji/stowarzyszenia (jako podmiotu niezarobkowego) z odpowiednimi zabezpieczeniami, dotyczące m.in. członków, byłych członków lub osób utrzymujących stałe kontakty z organizacją w związku z jej celami (oraz co do zasady bez ujawniania danych na zewnątrz bez podstawy).
To jest często „rdzeń” dla danych wrażliwych przetwarzanych w związku z misją – ale musi iść w parze z realnymi zabezpieczeniami, ograniczeniem dostępu i jasnym określeniem, kto i po co te dane przetwarza.
Zgoda na dane szczególne – art. 9 ust. 2 lit. a RODO
Jeżeli organizacja chce oprzeć się na zgodzie przy danych szczególnych:
- art. 9 ust. 2 lit. a – potrzebna jest wyraźna zgoda (wyższy standard niż przy „zwykłych” danych).
To może mieć znaczenie np. przy publikacji historii beneficjenta, wizerunku powiązanego z informacją o stanie zdrowia, albo przy kampaniach, gdzie ujawnienie takich informacji nie jest konieczne do udzielenia wsparcia, ale beneficjent chce się nimi podzielić.
Ważny interes publiczny – art. 9 ust. 2 lit. g RODO
- art. 9 ust. 2 lit. g dotyczy przetwarzania niezbędnego ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub prawa państwa członkowskiego, z odpowiednimi zabezpieczeniami.
W NGO to przesłanka raczej wyjątkowa i w praktyce wymaga mocnego oparcia w konkretnej podstawie ustawowej. Teoretycznie można ją rozważać w kontekście systemów zgłoszeń wewnętrznych, jeżeli organizacja byłaby zobowiązana do wdrożenia takich kanałów na podstawie właściwych przepisów tzn. ustawy o ochronie sygnalistów i przetwarzałaby dane szczególne w ramach obsługi tych zgłoszeń. W takim scenariuszu kluczowe byłoby to, że obowiązek nie wynika z „dobrowolnej decyzji” NGO, tylko z normy prawnej oraz że organizacja zatrudniałaby określoną liczbę osób świadczących pracę (szeroko rozumianą), przy czym nie należy automatycznie utożsamiać tej kategorii z „pracownikami” w rozumieniu art. 2 Kodeksu pracy.
Jakie dokumenty powinna mieć fundacja w ramach RODO?
Nie ma jednego „uniwersalnego pakietu” dokumentów dla każdej fundacji. Inaczej wygląda dokumentacja w organizacji, która prowadzi stałą pomoc beneficjentom (często z danymi wrażliwymi), inaczej w fundacji eventowej, grantowej czy w małym NGO opartym na wolontariacie. Zasada jest jednak stała: dokumenty mają wynikać z procesów i ryzyk, a nie z szablonu. Ich zadanie jest praktyczne: uporządkować pracę na danych i pozwolić wykazać rozliczalność (czyli że fundacja realnie panuje nad tym, co robi z danymi osobowymi).
Rejestr czynności przetwarzania (RCP)
Podstawowy dokument porządkujący procesy: cele, podstawy prawne, kategorie danych i osób, odbiorcy, retencja, zabezpieczenia. Dobrze prowadzony RCP ułatwia też przygotowanie klauzul informacyjnych i rozmowy z dostawcami.
Analiza ryzyka (a gdy trzeba – DPIA/ocena skutków)
Analiza ryzyka pokazuje, że zabezpieczenia nie są przypadkowe. DPIA jest potrzebna tam, gdzie przetwarzanie może powodować wysokie ryzyko dla praw i wolności (w praktyce często: praca na danych szczególnie wrażliwych, rozbudowane systemy identyfikacji, monitoring, skala działań lub szczególnie ingerujące narzędzia).
Polityka ochrony danych / zasady przetwarzania danych
Krótki, stosowalny dokument „jak pracujemy z danymi”: role i odpowiedzialności, podstawowe reguły bezpieczeństwa, obieg dokumentów, zasady pracy na e-mailu i w systemach, udostępnienia danych, retencja, praca zdalna (jeśli występuje). Nie elaborat, tylko instrukcja dla zespołu i wolontariuszy.
Upoważnienia do przetwarzania danych + ewidencja upoważnionych
W NGO to krytyczne, bo dane przetwarzają osoby w różnych relacjach (pracownicy, zleceniobiorcy, wolontariusze). Upoważnienia powinny określać zakres dostępu i obowiązek poufności, a ewidencja odpowiadać na pytanie: kto ma dostęp, od kiedy, do czego i kiedy został odebrany.
Rejestr naruszeń oraz procedura reagowania na incydenty
Rejestr obejmuje naruszenia (także te niezgłaszane do organu), a procedura ma wskazywać: kto zgłasza, kto ocenia, jakie są pierwsze kroki zabezpieczające, jak dokumentować ustalenia. Warto ujmować również „prawie incydenty”, bo pokazują słabe miejsca.
Klauzule informacyjne (art. 13 i 14 RODO)
Klauzule muszą być dopasowane do realnych sytuacji w fundacji – typowo osobno dla: beneficjentów/podopiecznych, darczyńców, wolontariuszy, kandydatów do pracy/współpracy, kontrahentów i osób kontaktowych u partnerów. Równie ważne jak treść jest to, gdzie i kiedy są przekazywane (formularz, umowa, e-mail, zapisy na wydarzenie, rozmowa).
Polityka prywatności na stronie (jeśli fundacja zbiera dane online)
Jeżeli fundacja ma formularze, zapisy na wydarzenia, newsletter, darowizny online – dokument musi odzwierciedlać faktyczne narzędzia (wtyczki płatności, platformy mailingowe, analityka, cookies, integracje). To często pierwszy punkt weryfikacji w praktyce.
Umowy powierzenia przetwarzania danych (art. 28 RODO) + wykaz dostawców
Gdy podmiot zewnętrzny przetwarza dane w imieniu fundacji, potrzebna jest umowa powierzenia. Typowe obszary: hosting i poczta, chmura, newsletter/CRM, operator darowizn/płatności, IT, niszczenie dokumentów, biuro rachunkowe. Dobrą praktyką jest prowadzenie wykazu dostawców z zakresem dostępu i informacją o podpowierzeniu.
