Pytania organizacji pozarządowej

Czy musimy rejestrować w GIODO dane członków naszego stowarzyszenia? Czy powinniśmy mieć od nich jakieś zgody na używanie ich danych?

Każda organizacja posiada jakieś dane osobowe. Są to dane członków (w przypadku stowarzyszenia), członków władz, pracowników, współpracowników, wolontariuszy i przede wszystkim dane klientów czy podopiecznych.

Nie wszystkie dane, które mamy, są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych. Dane osobowe to, najprościej mówiąc, wszelkie informacje, które dotyczą jakiejś konkretnej, zidentyfikowanej osoby albo takie dane, które umożliwiają ustalenie tożsamości osoby. Jednakże jeżeli to ustalenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań, to takie dane nie są danymi osobowymi w rozumieniu ustawy.

Organizacje często mają informacje typu: imię, nazwisko osoby, jej adres, numer PESEL albo NIP, adres mailowy, a czasem nawet zbierają tzw. dane wrażliwe, np. o stanie zdrowia osoby, jeśli zajmują się np. ochroną zdrowia.

Jeżeli te dane trzymane są w zbiorze danych (jakoś uporządkowanym, mającym strukturę zestawie) albo w komputerze z dostępem do internetu, to zaczyna obowiązywać ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Oznacza to, że: po pierwsze, organizacja powinna mieć zgodę osób, których dotyczą dane, na ich posiadanie (chyba, że jakiś przepis prawa zwalnia ją z tego obowiązku), po drugie powinna je zabezpieczać i chronić oraz, po trzecie, w określonych przypadkach zgłaszać informację, że ma taki zbiór (czyli rejestrować) do Generalnego Inspektora Danych Osobowych( GIODO).

Czy wszystkie zbiory danych trzeba rejestrować?

Według ogólnej zasady: tak, zbiory danych należy rejestrować w GIODO. Jednakże od tej zasady są pewne wyjątki, opisane w art. 43 ustawy o ochronie danych.

Co to za sytuacje? Nie trzeba rejestrować zbiorów danych, takich jak np.:

– przetwarzanych w związku z zatrudnieniem, świadczeniem usług na podstawie umów cywilnoprawnych, a także dotyczących osób zrzeszonych lub uczących się

– przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

W praktyce mogą być to dane np. darczyńców organizacji, które organizacja ma obowiązek zbierać w celach sprawozdawczych, dane pracowników i współpracowników, z którymi zawiera umowy, a także dane członków organizacji (czyli osób zrzeszonych). Tych danych nie trzeba będzie rejestrować.

Zgoda na przetwarzanie danych osobowych

Odrębną kwestią jest konieczność posiadania zgody na przetwarzanie tych danych. Przez przetwarzanie danych rozumie się operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Według przepisów prawa przetwarzanie danych jest możliwe wtedy, jeśli dana osoba wyrazi na to zgodę lub jeśli zaszły inne okoliczności, opisane w ustawie o ochronie danych.

Art. 23.

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zebranie danych osobowych członków założycieli stowarzyszenia (imię, nazwisko, adres jest warunkiem niezbędnym do rejestracji i wynika z zapisów ustawy Prawo o stowarzyszeniach. Tak więc przyjmuje się, że zebranie i przetwarzanie danych w tej sytuacji nie wymaga ich zgody (ani nie podlega obowiązkowi rejestracji). Także później, w toku działalności, stowarzyszenie zbiera dane kolejnych członków (którzy dołączają do organizacji). Jest to niezbędne, aby monitorować liczebność członków stowarzyszenia, sprawdzać, czy dana osoba spełnia kryteria niezbędne do przyjęcia jej na członka organizacji, a także aby utrzymywać kontakt z członkami (np. w celu obowiązkowego pozyskiwania składek i zawiadamiania o walny zgromadzeniu) i realizować działania statutowe organizacji. Tu jednak warto zastanowić się, jakie dane są zbierane (podpowiedzią mogą być zapisy statutu) – czy nie wystarczy numer telefonu, adres e-mail, adres do korespondencji. Być może numer PESEL nie jest konieczny. Zbierając dane osobowe, trzeba się kierować zasadą celowości i stale sobie zadawać pytanie, w jakim celu dane są zbierane.

Odpowiadając na pytanie organizacji

Nie ma obowiązku rejestracji zbioru danych członków stowarzyszenia i nie ma obowiązku pobierania od nich zgody na przetwarzanie danych. Rekomendujemy, by zastanowić się, jakiego rodzaju dane członków są zbierane i w jakim celu.

Ochrona konieczna, nawet pomimo braku obowiązku rejestracji

Na koniec warto uświadomić sobie, że rejestracja zbioru danych to tylko jeden z wielu obowiązków związanych z posiadaniem danych osobowych. Oprócz niego organizacja ma m.in. obowiązek:

udzielania informacji o celach i zasadach przetwarzania danych (szczególnie osobom, których dane dotyczą)

przestrzegania zasad adekwatności, celowości, merytorycznej poprawności i wykorzystywania danych jedynie do czasu osiągnięcia wyznaczonego celu

właściwego (zgodnego z przepisami prawa) zabezpieczenia danych i ich ochrony.

Zatem jeżeli nawet organizacja nie musi rejestrować zbioru w GIODO, to powinna wypełniać pozostałe obowiązki. Samo posiadanie danych jest już traktowane jako tzw. przetwarzanie danych i powoduje, że organizacja podlega obowiązkom zapisanym w ustawie o ochronie danych.

Podstawa prawna:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Art. 6.

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Art. 36.

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem

Art. 40.

Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.

Art. 43.

1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1) zawierających informacje niejawne,

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,

2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9) powszechnie dostępnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.