Fundacje to istotna część trzeciego sektora gospodarki. Ich głównym zadaniem jest realizacja celów społecznie lub gospodarczo użytecznych. W ograniczonym zakresie mają one również możliwość prowadzenia działalności gospodarczej. Status fundacji jest jednak specyficzny, stąd częsta wątpliwość, która rodzi się po stronie fundatora, dotycząca przetwarzania danych osobowych. Czy fundacje mogą przetwarzać dane osobowe i jak powinny je chronić?
Fundacja jako administrator danych osobowych
Fundacje, tak samo jak wszystkie inne podmioty działające na rynku, mogą zostać zakwalifikowane jako administrator danych osobowych w rozumieniu przepisów rozporządzenia RODO. Niezależnie od tego czy przetwarzane dane osobowe dotyczą pracowników, klientów, beneficjentów czy darczyńców, jakakolwiek operacja związana z ich danymi osobowymi będzie równoznaczna z ich przetwarzaniem.
Fundacja może przetwarzać zarówno „zwykłe” dane osobowe, jak i dane wrażliwe. W obu przypadkach warunki tego przetwarzania będą wyglądały nieco inaczej.
W jaki sposób rozumieć pojęcie danych osobowych?
Pojęcie danych osobowych zostało zdefiniowane w art. 4 pkt 1 rozporządzenia RODO i należy rozumieć je bardzo szeroko. Zgodnie z powołanym przepisem danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W szczególności będzie to imię i nazwisko czy numer PESEL, ale także adres e-mail czy IP.
Z kolei wrażliwe dane osobowe to te, które określają m.in. stan zdrowia, poglądy polityczne, przekonania religijne czy pochodzenie etniczne lub rasowe danej osoby.
Na czym polega przetwarzanie danych osobowych?
Termin przetwarzania danych osobowych odnosi się do każdej operacji, która jest dokonywana na informacjach stanowiących dane osobowe. Nie ma przy tym znaczenia, czy takie działania są zautomatyzowane czy też nie. Rozporządzenie RODO wymienia m.in. następujące sposoby przetwarzania danych osobowych:
- zbieranie;
- utrwalanie;
- organizowanie;
- porządkowanie;
- przechowywanie;
- modyfikowanie;
- pobieranie;
- przeglądanie;
- usuwanie i niszczenie.
Jak łatwo zauważyć, przetwarzanie danych może mieć charakter zarówno aktywny (np. zbieranie CV osób aplikujących do pracy w fundacji), jak i pasywny (przechowywanie danych podopiecznych w bazie danych, a nawet samo ich przeglądanie). Każda operacja na danych osobowych w świetle rozporządzenia będzie kwalifikowała się w dokładnie taki sam sposób.
Czy fundacja może zgodnie z prawem przetwarzać dane osobowe?
Wiesz już, że fundacja może przetwarzać dane osobowe (i zwykle będzie to robiła). Pytanie brzmi, jak zadbać o zgodność z prawem takich operacji?
Kluczowe znaczenie dla legalności przetwarzania ma możliwość wykazania jednej z przesłanek wskazanych w art. 6 RODO. Przepis ten wprowadza warunki, których spełnienie czyni przetwarzanie legalnym, wyłączając tym samym odpowiedzialność administratora za operacje na danych osobowych realizowane bez podstawy prawnej.
Klasyczną przesłanką legitymizująca jest zgoda osoby, której dane dotyczą, na przetwarzanie danych osobowych. Powinna być ona dobrowolna, konkretna, świadoma i jednoznaczna. Jeśli celów przetwarzania danych jest kilka, zgoda powinna dotyczyć każdego z nich z osobna.
Odmienną podstawą dla przetwarzania jest wykonanie przez fundację zawartej umowy. Jeszcze inna przesłanka to prawnie uzasadniony interes administratora. Ma ona charakter nieostry i zwykle powołuje się go, kiedy nie ma możliwości wskazania „bliższej” podstawy przetwarzania danych. Teoretycznie można utożsamić go z realizacją celów statutowych, ale należy robić to ostrożnie, aby nie narazić się na zarzut bezprawnego przetwarzania.
Jak dbać o dane osobowe w fundacji?
Ochrona danych osobowych często budzi kontrowersje, ponieważ unijny ustawodawca pozostawił administratorom wolną rękę w tym zakresie wskazując jedynie, jaki cel mają w ten sposób uzyskać. Przykładowe działania w tym zakresie mogą obejmować:
- wykonywania backupu danych cyfrowych;
- stosowanie usług chmurowych posiadających odpowiednie certyfikaty i zabezpieczenia (np. szyfrowanie end-to-end 256-bitowe AES);
- szkolenia pracowników w zakresie etyki wykonywania obowiązków (np. zamykanie dokumentów w szafach na akta wyposażonych w zamki).
Ochrona danych osobowych w fundacji – Kancelaria Linke Kulicki
Dbanie o należyty standard ochrony danych osobowych ma kluczowe znaczenie, ponieważ w razie kontroli Prezesa UODO to administrator będzie musiał wykazać, że dochował zasady rozliczalności. Jeśli prowadzisz fundację lub chcesz ją założyć i nie jesteś pewien, jak zadbać o ochronę danych osobowych, skontaktuj się z nami.
Kancelaria Linke Kulicki oferuje kompleksowe wsparcie w zakresie audytu RODO oraz opracowania i wdrożenia skutecznych rozwiązań minimalizujących ryzyko wystąpienia incydentu. Wspieramy fundacje w postępowaniu w zgodzie z przepisami RODO oraz przejmujemy pełnienie funkcji Inspektora Ochrony Danych (IOD) w fundacji. Przekazując nam tę funkcję i wiążące się z nią obowiązki, zyskujesz poczucie bezpieczeństwa. Masz pewność, że otrzymujesz wsparcie w zakresie ochrony danych osobowych od specjalistów w tej dziedzinie prawa.