Rozporządzenie o ochronie danych osobowych (RODO) stosuje się również w różnego rodzaju organizacjach społecznych, do których należą np. stowarzyszenia. Praktycznie każde stowarzyszenie zbiera oraz przetwarza dane osobowe. Zakres tych danych zależy od celów statutowych danego stowarzyszenia oraz charakteru prowadzonej działalności.
Kogo dane są przetwarzane przez stowarzyszenie?
Przede wszystkim stowarzyszenie powinno określić jakie dane osobowe zamierza zbierać i gromadzić oraz w jakim celu. Stowarzyszenie nie może funkcjonować nie przetwarzając danych swoich członków, pracowników i współpracowników, jak również wolontariuszy, darczyńców, uczestników szkoleń, beneficjentów, użytkowników strony internetowej. Im większy zakres przetwarzanych danych, tym więcej obowiązków ciążących na stowarzyszeniu w związku z ich ochroną.
Podkreślić należy, że stowarzyszenie powinno przetwarzać dane osobowe wyłącznie w zakresie, który jest niezbędny do osiągnięcia ustalonego wcześniej celu oraz nie dłużej niż to konieczne.
Na jakiej podstawie prawnej stowarzyszenie przetwarza dane osobowe?
Na stowarzyszeniu ciąży obowiązek ustalenia podstawy prawnej przetwarzania danych. Podstawy prawne przetwarzania danych osobowych przez stowarzyszenie są następujące:
- zgoda osoby, której dane dotyczą,
- przetwarzanie jest niezbędne do wykonania umowy, np. dane osobowe członków stowarzyszenia będą przetwarzane w celu realizacji stosunku członkostwa,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, np. dane osobowe mogą być przetwarzane w celu realizacji obowiązków stowarzyszenia wynikających z przepisów ustawy o rachunkowości w związku z koniecznością zarejestrowania wpływu składek członkowskich,
- prawnie uzasadniony interes stowarzyszenia, np. możliwość dochodzenia roszczeń wynikających z realizacji stosunku członkostwa,
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez stowarzyszenie o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą – przesłanka ta dotyczy stowarzyszeń, które przetwarzają dane wrażliwe swoich członków, czyli dane dotyczące zdrowia, seksualności, poglądów politycznych, religii czy światopoglądu.
RODO w stowarzyszeniu – obowiązek informacyjny
Istotne jest, aby członek stowarzyszenia posiadał informację między innymi o tym: kto przetwarza jego dane osobowe, w jakim celu, jak długo, na jakiej podstawie, kto ma dostęp do tych danych. Inaczej mówiąc, członkowi powinny zostać przekazane wszystkie informacje określone w art. 13 RODO.
Nie ma ustalonej jednej formy w jakiej należy przekazać informacje o przetwarzaniu danych osobowych. Obowiązek informacyjny może zostać spełniony w formie pisemnej lub elektronicznej. Informacje powinny zostać przekazane jasnym i prostym językiem najpóźniej w momencie zbierania od członka jego danych osobowych. Najczęściej informacja umieszczana jest pod deklaracją członkowską, wypełnianą przez członka stowarzyszenia oraz na stronie internetowej stowarzyszenia.
RODO w stowarzyszeniu – zabezpieczenie danych
Dane osobowe gromadzone przez stowarzyszenie powinny być zabezpieczone przed ich utratą, zniszczeniem, uszkodzeniem, niedozwolonym czy niezgodnym z prawem przetwarzaniem. Zastosowanie konkretnych środków ochrony danych osobowych zależy od stowarzyszenia. Co ważne, muszą one być skuteczne i dopasowane do zagrożeń na jakie narażone są dane osobowe. Systemy za pośrednictwem których dochodzi do przetwarzania danych powinny mieć odpowiednie zabezpieczenia. Z kolei w przypadku danych przetwarzanych w formie papierowej należy zadbać o bezpieczeństwo miejsca przechowywania, aby dostęp do danych miały tylko osoby upoważnione.
Autor: radca prawny Maciej Fiedorowicz, nr wpisu WA-15162