header bg

Jak przetwarzać dane osobowe w NGO? Praktyczny poradnik

Udostępnij
icon
icon
10 minut

Istotą działalności organizacji pozarządowych jest dotarcie ze swoimi ideami i celami do jak najszerszego grona odbiorców. O tym, jak pozyskać dane osobowe i prawidłowo je przetwarzać, informuje ekspert ds. RODO - Dagmara Knaga. 

Jak pozyskać dane osobowe za pomocą Internetu? Jedna z organizacji pozarządowych (Stowarzyszenie Abc) zdecydowała się na formę kontaktu z odbiorcami, potencjalnymi sympatykami, za pomocą Internetu i zorganizowała na swojej stronie internetowej kampanię społeczną skierowaną do polityków, samorządowców i osób mających wpływ na kształtowanie opinii publicznej, aby dotrzeć z realizacją swoich celów statutowych do jak najszerszego grona odbiorców.

W kampanii tej mogą brać udział wszystkie osoby, które popierają tę akcję, wysyłając za pośrednictwem strony, na której jest ona organizowana, swój apel-petycję.

Jak zatem możemy pozyskać dane osobowe tą drogą? Czy możemy wysłać newsletter do osoby, której przyjaciel, znajomy polecił konkretną akcję społeczną organizowaną na naszej stronie internetowej? Jak powinniśmy postępować w takich przypadkach, aby nie naruszyć przepisów RODO? Pierwszą rzeczą, od której zaczęła nasza przykładowa organizacja, było określenie kategorii zbieranych danych. Podpisując na stronie internetowej petycję, osoba podaje swoje imię i nazwisko oraz adres e-mail.

Wobec powyższego wiemy już, że dane osobowe, które podała, należą do kategorii danych zwykłych i nie potrzebujemy w tym przypadku zgody do przetwarzania danych osobowych. Wystarczającą podstawą do ich przetwarzania będzie art. 6 ust. 1 lit. f RODO, czyli prawnie usprawiedliwione interesy realizowane przez naszą organizację.

Następnie osobie, która podpisała petycję, musimy udzielić wszystkich informacji, jakie opisuje art. 13 RODO. Wiedza ta powinna być podana w zwięzłym i czytelnym dla odbiorcy języku. Czynimy to umieszczając obok podpisu tej osoby na stronie internetowej,  pod podpisanym przez nią apelem, klauzulę informacyjną.

Może ona wyglądać w ten sposób:

Informujemy, że Państwa dane są przetwarzane przez Stowarzyszenie Abc z siedzibą w Warszawie, ul. Kwiatowa 15, 00-877 Warszawa (administrator danych osobowych), w następujących celach: a) w ramach utrzymywania stałego kontaktu ze Stowarzyszeniem w związku z jego celami statutowymi, w szczególności poprzez informowanie o organizowanych akcjach społecznych i możliwościach wspierania działalności Stowarzyszenia. Przetwarzanie Państwa danych w wyżej wskazanym celu uzasadnione jest prawnie usprawiedliwionymi interesami realizowanymi przez Stowarzyszenie, zgodnie z art. 6 ust. 1. lit. f RODO. Podanie przez Państwa danych jest dobrowolne, niemniej bez ich wskazania nie będzie możliwe wsparcie akcji i utrzymywanie stałego kontaktu z Państwem. Mają Państwo prawo dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, jak również prawo wniesienia sprzeciwu wobec przetwarzania oraz prawo do przenoszenia danych. Wszystkie te żądania będziecie mogli Państwo zgłaszać na adres siedziby Stowarzyszenia, przy ul. Kwiatowej 15, 00-877 Warszawa z dopiskiem „Inspektor Ochrony Danych Osobowych” lub na adres e-mail: iodo@stowarzyszenieabc.pl. Mają również Państwo prawo do wniesienia skargi do organu nadzorczego. Do Państwa danych osobowych mogą mieć również dostęp podmioty świadczące na rzecz Stowarzyszenia usługi, w szczególności hostingowe, informatyczne, wysyłkowe. Podane dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Jednak decyzje dotyczące indywidualnej osoby, związane z tym przetwarzaniem nie będą zautomatyzowane. Państwa dane osobowe będą przechowywane przez nas bezterminowo, jednak nie dłużej niż przez okres przedawnienia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych w razie otrzymania od Państwa sprzeciwu wobec przetwarzania danych.

Od tego momentu taka osoba może zostać wpisana do naszego zbioru danych osobowych. Na podstawie informacji zawartych w klauzuli informacyjnej, w szczególności na podstawie art. 6 ust. 1 lit. f RODO, możemy kontaktować się z nią poprzez udostępniony nam adres e-mail.

[/et_pb_text][/et_pb_column][/et_pb_row][et_pb_row _builder_version="3.26.3"][et_pb_column type="4_4" _builder_version="3.26.3"][et_pb_cta title="Bądź na bieżąco z RODO!" button_url="https://rodo.konfederacjaipr.pl/eporadnik/" url_new_window="on" button_text="Pobierz ePoradnik" _builder_version="3.26.3" animation_style="fade" animation_delay="50ms" animation_starting_opacity="4%"] Pobierz nasz darmowy ePoradnik RODO dla NGO. Poradnik zawiera między innymi:
  • Wzór zgody na przetwarzanie danych osobowych
  • Wzór upoważnienia do przetwarzania danych osobowych
  • Wzór klauzuli informacyjnej
  • Rejestr czynności przetwarzania danych osobowych
rodo.konfederacjaipr.pl

Co możemy wysyłać? Do naszego sympatyka możemy wysyłać wszystkie treści związane z działalnością statutową naszej organizacji. Możemy go informować o kolejnych organizowanych przez nas akcjach i kampaniach społecznych, o spotkaniach, które organizujemy, prelekcjach i konferencjach a także wysyłać zaproszenia na spotkania.

Czego nie możemy wysłać? Pod żadnym pozorem nie możemy jednak wysyłać do naszego sympatyka wiadomości, które zawierałyby w sobie jakąkolwiek treść mogącą być informacją handlową. Zakazuje nam tego art. 10 ustawy z 18.07.2002 r. o świadczeniu usług drogą elektroniczną i art. 172 ustawy z 16.07.2004 r. – Prawo telekomunikacyjne.

Jakie treści mające charakter informacji handlowych i w jakich sytuacjach moglibyśmy wysyłać? Informacje handlowe są to informacje służące osiągnięciu efektu handlowego, Inaczej mówiąc, mają one na celu promowanie produktów lub usług (np. książki, biuletynu, czasopisma, szkolenia), które następnie możemy sprzedać i osiągnąć z tej sprzedaży zysk. Dlatego, gdy nasza organizacja prowadzi jednocześnie z działalnością statutową również działalność gospodarczą i wysyła do naszego sympatyka wiadomość e-mailową, która zawiera promocję np. wydawanej przez naszą organizację książki, to musimy wcześniej zadbać o zgodę naszego sympatyka na przesyłanie do niego drogą elektroniczną takiej informacji.

Zgoda ta może mieć taką formę:

Wyrażam zgodę na przetwarzanie moich danych osobowych podanych powyżej w zakresie adresu e-mail przez Stowarzyszenie Abc z siedzibą w Warszawie, ul. Kwiatowa 15, 00-877 Warszawa (administrator danych) w celach marketingowych.

Zgodnie z wymogiem z art. 172 ust.1. Prawa telekomunikacyjnego wyrażam zgodę na używanie przez Stowarzyszenie Abc z siedzibą w Warszawie, ul. Kwiatowa 15, 00-877 Warszawa (administrator danych) telekomunikacyjnych urządzeń końcowych (np. komputera) w celu marketingu bezpośredniego.

Podsumowując, nasza przykładowa organizacja pozarządowa nie prowadzi działalności gospodarczej. Prowadzi działalność statutową. Dlatego może ona wysyłać do swojego sympatyka wiadomości e-mail tylko w ramach utrzymywania stałego kontaktu z organizacją i  w związku z jej celami statutowymi, w szczególności, gdy w newsletterze będzie informowała o organizowanych akcjach społecznych i działalności naszej organizacji bez promowania produktów i usług przeznaczonych na sprzedaż.

Jeśli jednak organizacja podjęłaby decyzję o rozpoczęciu działalności gospodarczej, to przy spełnieniu warunków wynikających z przepisów prawa i chcąc wysłać do swoich sympatyków również e-maile dotyczące jakichkolwiek informacji promujących sprzedaż swojego produktu lub usługi, musiałaby wcześniej uzyskać na to ich zgodę.

Możemy przyjąć bowiem, że przepisy zarówno ustawy o świadczeniu usług drogą elektroniczną, jak i przepisy ustawy prawo telekomunikacyjne mówiące o uzyskaniu zgody na wysyłanie informacji drogą elektroniczną dotyczą tylko takich sytuacji, w których wiadomość zawiera promocję produktów i usług w celu ich sprzedaży. Przy realizacji zaś celów statutowych nie możemy mówić o jakiejkolwiek sprzedaży w celu osiągnięcia zysku. Tak więc, wymóg uzyskania zgody zawarty w ustawie o świadczeniu usług drogą elektroniczną, jak i przepisy ustawy prawo telekomunikacyjne nas nie dotyczą.

Organizacja wpadła również na pomysł, aby pozyskać dane osobowe osób, które nasz sympatyk poleci. W tym celu zaproponowała na swojej stronie internetowej osobie, która podpisała petycję,  aby zachęciła ona swoich znajomych do udziału w akcji.  Odbyło się to w następujący sposób:

Zaproś znajomych do udziału w akcji! Przekaż informację o naszej kampanii swojej rodzinie, przyjaciołom i znajomym! Nie zwlekaj! Skorzystaj z zamieszczonego po prawej stronie formularza i poinformuj swoich znajomych o naszej kampanii. Wystarczy, że podasz tylko ich adresy e-mailowe, a znacząco przyczynisz się do sukcesu naszej akcji.

Gdy nasz sympatyk poleci promowaną przez naszą organizację kampanię społeczną i wpisze adres e-mail polecanej osoby w ramki umieszczone na naszej stronie internetowej, do osoby polecanej automatycznie generuje się wysyłana z naszego serwera wiadomość o następującej treści:

Witaj! Twój znajomy właśnie wziął udział w akcji "………………", w ramach której wysyłamy apel do redakcji „…………………….”, w którym domagamy się ………………………. Twój znajomy prosi Cię o dołączenie do akcji i wysłanie takiej petycji. Wystarczy, że wejdziesz na stronę i podpiszesz się pod przygotowanym tam apelem: http://www.abcstowarzyszenie.pl.........................,177,k.html Nie zwlekaj i dołącz do naszej akcji! Z pozdrowieniami Stowarzyszenie Abc

Jeśli osoba polecana zainteresuje się naszą kampanią i organizacją i nawiąże z nami jakikolwiek kontakt, może wejść do naszego zbioru danych osobowych. Jeśli zaś tego nie zrobi, to nie wpisujemy jej do naszego zbioru. Może się również zdarzyć, że osoba taka otrzymując od nas e-maila z wiadomością, że jej znajomy polecił jej adres e-mail, wniesienie sprzeciw co do przetwarzania jej danych osobowych. Wówczas natychmiast, bez zbędnej zwłoki, odnotowujemy ten fakt i zaprzestajemy jakichkolwiek wysyłek do niej.

Czy takie zasady przyjęte przez naszą organizację są słuszne i zgodne z prawem? RODO nie wskazuje jak powinny wyglądać dokumenty i sposoby zabezpieczenia, jakie należy podjąć, aby organizacja mogła wypełnić obowiązki wynikające z tego unijnego Rozporządzenia.

Nie jest zabronione również zabieganie o swoich klientów, współpracowników czy sympatyków. Dlatego nasza przykładowa organizacja zdecydowała się na pozyskiwanie danych osobowych poprzez jedno z mediów, jakim jest Internet. Zastosowała podstawowe zasady zabezpieczeń organizacyjnych i technicznych. Przede wszystkim, zbierając dane osobowe od osób podpisujących petycje na stronie internetowej, w pierwszej kolejności wypełniła obowiązek informacyjny wynikający z art. 13 RODO, wskazując podstawę prawną przetwarzania danych i informując osobę fizyczną o celach ich przetwarzania a także wszystkich prawach wynikających z RODO. Osoba, która nie wyraża już chęci dalszego kontaktu ze Stowarzyszeniem, może wnieść sprzeciw co do przetwarzania jej danych osobowych na wskazany przez organizację adres e-mail.

Natomiast co do zbierania danych osobowych innych osób z tzw. polecenia, nasza organizacja nie zastosowała kilku zasad wynikających z RODO. Przede wszystkim w e-mailu do takiej osoby nie pojawia się jakakolwiek klauzula informacyjna, która pozwoliłaby jej przynajmniej na weryfikację podmiotu, który do niej wysłał e-mail o danej treści.

Zatem, w informacji wysyłanej do osoby polecanej brakuje klauzuli informacyjnej, która w jasny i prosty sposób będzie informowała o jej prawach. Niespełnione zostały więc zasady wynikające z RODO, tj: zasada zgodności z prawem, rzetelności i przejrzystości, zasada ograniczenia celu przetwarzania danych, zasada minimalizacji danych, zasada prawidłowości danych, zasada ograniczenia przechowania danych, zasada integralności i poufności.

Drugim minusem takiego sposobu zbierania danych osobowych jest to, że nasza organizacja nie jest w stanie wykazać, kto podał jej adres e-mail i stanowi to naruszenie zasad wynikających z art. 14 ust. 2 pkt. f RODO (należy podać źródło pochodzenia danych).

Co organizacja musi uczynić w takiej sytuacji? W e-mailu wysyłanym do osoby polecanej musi znaleźć się klauzula informacyjna zawierająca wszystkie informacje zawarte w art. 14 RODO z podaniem przynajmniej źródła pochodzenia jej danych. Musi również znaleźć się w nim jasna i prosta informacja, że ten adres e-mail został udostępniony przez jej znajomego za pośrednictwem strony internetowej organizacji wyłącznie do jednokrotnego wykorzystania, a jeśli osoba polecana nie wyraża chęci uczestnictwa w kampaniach organizacji, musi mieć możliwość szybkiego zareagowania, np. poprzez udostępnienie jej w e-mailu linku „wypisz się”, który pozwoli jej na szybkie zakończenie jakichkolwiek relacji z naszą organizacją.


Opracowano na podstawie doświadczeń IODO w Stowarzyszeniu Abc


Dagmara Knaga - reprezentuje Stowarzyszenie Kultury Chrześcijańskiej im. ks. Piotra Skargi

Artykuł sfinansowano ze środków Narodowego Instytutu Wolności - Centrum Rozwoju Społeczeństwa Obywatelskiego w ramach programu FIO

Czy stowarzyszenie można zlikwidować poprzez uchwałę o samorozwiązaniu?

nie
tak, jeśli w statucie stowarzyszenia widnieje odpowiedni zapis o sposobie jego rozwiązania
stowarzyszenie może być rozwiązane jedynie przez sąd
Loading ... Loading ...

Zobacz także

Subscribe to our newsletter