Jak przetwarzamy dane? Klauzula RODO


Zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (znane dalej: „RODO”) chcemy poinformować Państwa o tym, w jaki sposób przetwarzamy dane osobowe w ramach programu „Działaj Lokalnie”.

W związku z dużą samodzielnością ODL w realizacji swoich działań, przyjęliśmy model dwóch odrębnych administratorów danych osobowych: ODL i ARFP. Jest on zaprezentowany na poniższej grafice.

Obrazek posiada pusty atrybut alt; plik o nazwie grafika-przetwarzanie-danych-1.png

Uznanie jakiegokolwiek podmiotu za administratora nie jest działaniem pozostającym w sferze swobodnego uznania. RODO przewiduje określone warunki, gdy dany podmiot należy uznać za administratora. Zgodnie z art. 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Proces udostępniania jaki odbywa się w zaproponowanym modelu między ODL i ARFP należy wyraźnie odróżnić od powierzenia danych osobowych. W przypadku powierzenia danych podmiot otrzymuje dane osobowe na podstawie umowy powierzenia zawartej z administratorem. Umowa określa cel i zakres, w jakim może on przetwarzać dane w imieniu administratora. Tym celem najczęściej będzie przeniesienie części procesów przetwarzania danych osobowych poza siedzibę firmy, np. hosting, obsługa kadrowo-księgowa, czy prawna lub zlecenie wysyłki newslettera. Udostępnienie stanowi natomiast przekazanie danych odbiorcy, który sam decyduje o celach i środkach przetwarzania danych. Dzięki temu może m.in. wykorzystywać pozyskane dane do realizacji własnych celów statutowych oraz innych projektów. Stając się jednak administratorem danych, może on dokonywać przetwarzania wyłącznie na podstawie tzw. przesłanek legalności.

RODO wyróżnia dwa rodzaje udostępniania danych:

  1. udostępnianie innemu administratorowi – jeden administrator udostępnia dane drugiemu i każdy z nich wykorzystuje je do realizacji własnych celów;
  2. współadministrowanie – o ile UODO nie przewiduje rozwiązań w tym zakresie, o tyle RODO wprowadza już taką opcję.

W niniejszym przypadku będziemy mieli do czynienia z udostępnieniem innemu administratorowi (przypadek nr 1) RODO nie wskazuje wprost podstawy dla udostępnienia. Wykładania przepisów, w szczególności art. 14 RODO prowadzi jednak do wniosku, że jest to niewątpliwie możliwe. Przewiduje on sytuację, gdy administrator planuje ujawnianie danych osobowych innemu odbiorcy – wówczas obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu. W związku z powyższym należy stwierdzić, że nie musi występować dodatkowa umowa dotycząca udostępniania danych osobowych, aczkolwiek dla ustalenia zasad współpracy między dwoma administratorami – ARFP i ODL – taką umowę zawieramy.

Stąd też w ramach działań w programie „Działaj Lokalnie” należy każdorazowo przekazywać dwie klauzule informacyjne: ODL i ARFP (jako dwóch administratorów danych) oraz zbierać potwierdzenia zapoznania się z nimi. Odrębnym administratorem jest również fundator, tj. Polsko-Amerykańska Fundacji Wolności. Jej obowiązki, jako administratora w zakresie wynikającym z RODO, realizuje Przedstawicielstwo w Polsce Polsko-Amerykańskiej Fundacji Wolności (dalej: PAFW), ul. Królowej Marysieńki 48, 02-954 Warszawa. Chcąc zapewnić jak największą przejrzystość procesu przetwarzania – w klauzuli informacyjnej przekazujemy komunikat o udostępnianiu danych na rzecz PAFW. Jednocześnie informujemy, że dane przekazywane fundatorowi Programu mogą być przekazywane przez niego do USA. Czynności te pozostają jednak w gestii PAFW. Dlatego w przypadku pytań w tym zakresie należy przekazać dane kontaktowe PAFW: e-mail: paff@pafw.pl, telefon: 225502800 oraz adres: Przedstawicielstwo w Polsce Polsko-Amerykańskiej Fundacji Wolności, ul. Królowej Marysieńki 48, 02-954 Warszawa.

Pojawiającym się często pytaniem jest konieczność rozbudowanej sekcji: „Cele i podstawa przetwarzania danych” w klauzuli informacyjnej. Jej rozbudowanie ma na celu zapewnienie jak największej przejrzystości przetwarzania danych osobowych i bezpieczeństwa pod względem RODO. Jej objętość jej uwarunkowana złożoną strukturę Programu, zróżnicowanymi podstawami i obowiązkami w związku ze zbieranymi danych (np. o wizerunku lub danych do celów informowania o innych projektach) – co generuje różne cele, które mają różne podstawy prawne. Nie jest możliwe przyjęcie jednej podstawy prawnej, tj. umowy pomiędzy ARFP a ODL czyli wypełnienia obowiązku prawnego ciążącego na administratorze danych art. 6 ust. 1 lit. c) RODO. Zgodnie z ugruntowanym orzecznictwem sądów oraz komentarzami do RODO, powołanie się na ten przepis wymaga istnienia przepisu prawa, który nakłada na administratora danych obowiązek prawny. W naszym przypadku zaś nie ma takiego przepisu prawa powszechnie obowiązującego, a umowa nie spełnia tych kryteriów. Podobnie podstawa z art. 6 ust. 1 lit. b) RODO (przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy) może być wykorzystana jedynie w wąskim zakresie umowy, której stroną lub podmiotem aplikującym jest osoba fizyczna.

W określonych przypadkach należy także zbierać zgody na przetwarzanie danych osobowych. Tutaj każdy z projektów jest inny i wymaga indywidualnego podejścia. Sytuacja gdzie następują przetwarzanie to np. praca wolontariuszy, stąd stosowne zapisy na karcie ewidencji czasu pracy. Jeżeli podczas realizacji projektów sporządzane są listy obecności, których kopie będą przekazane do ODL, należy tam zamieścić analogiczne zapisy. Zgoda zbierana jest np. w przypadku przetwarzania danych osobowych w postaci wizerunku. Pełni ona podwójną rolę: spełnia wymogi RODO oraz art. 81 ustawy o prawie autorskim i prawach pokrewnych, zgodnie z którym rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej.

W przypadku gdy grupa nieformalna składa wniosek za pośrednictwem organizacji – to ona będzie trzecim administratorem danych osobowych i powinna zapewnić dokumenty analogiczne do tych dostarczanych przez ARFP i ODL (zgoda i klauzula informacyjna). Wtedy też przekazujemy trzy komplety dokumentów dotyczących danych osobowych (ARFP, ODL i organizacji). Można w tym przypadku skorzystać z naszych wzorów.