Persoanele vizate in cazul asociatiilor si fundatiilor prin prisma GDPR
Potrivit art. 4 punctul 7 din Regulamentul European nr. 679/2016 (in engleza General Data Protection Regulation sau, pe scurt, GDPR), in categoria operatorilor de date cu caracter personal se inscriu nu doar companiile si autoritatile publice,ci si orice organism care, singur sau impreuna cu altele,stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal. Similar, in cea a persoanelor imputernicite de operator, pot fi incadrate toate persoanele fizice sau juridice, autoritati publice, agentii sau alte organisme care prelucreaza datele cu caracter personal in numele operatorului.
Asadar, raportat la ultima parte a ambelor definitii, putem constata ca legiuitorul european a stabilit o plansa extrem de larga a entitatilor ce pot indeplini calitatea de operator de date cu caracter personal, respectiv de persoana imputernicita a acestuia, elementul esential neconstituindu-l forma de organizarea a activitatii respectivei entitati, ci implicarea sa in procedura de prelucrare a datelor cu caracter personal.
In acest context,consideram ca si asociatiile, si fundatiile (denumite in continuare, generic, ONG-uri) pot fi incadrate in categoria operatorilor de date (fie ei independenti, fie asociati), dar si in cea a persoanelor imputernicite de operatori, fiind tinute de respectarea normelor impuse de GDPR.
In acest sens, atragem atentia asupra a cinci segmente principale de persoane vizate,ce trebuie avute in vedere de ONG-uri, intrucat activitatea efectuata implica prelucrarea datelor personale ale acestora:
1. Membri ai ONG-ului
La constituirea ONG-ului si la modificarea structurii membrilor sai este necesara prelucrarea datelor acestora cu caracter personal. Mai mult, atunci cand ONG-ul organizeaza diverse evenimente cum sunt cele pentru strangerea de fonduri, anumiti membri vor da interviuri, declaratii, lise va publica poza pe diverse site-urisi in diferite ziare etc.
Drept urmare, vorbim mai mult decat despre prelucrarea de date in scopul indeplinirii unei obligatii legale a operatorului si, deci, un alt temei al prelucrarii dintre cele indicate de art. 6 alin. (1) din GDPR ar trebui avut in vedere (spre exemplu,cel alconsimtamantului persoanei vizate cu avantajele si dezavantajele deja cunoscute, cel al necesitatii prelucrarii datelor pentru realizarea intereselor legitime urmarite de operator sau de un tert, fara insa ca acestea sa prevaleze in raport cu interesele sau drepturile si libertatile fundamentale ale persoanei vizate).
Prin urmare, recomandam indicarea in statutul ONG-ului sau intr-un alt act semnat de membri a tuturor informatiilor necesare membrilor in calitate de persoane vizate, precum si obtinerea consimtamantului lor daca se decide prelucrarea de date in baza acestui temei. Fireste ca si celelalte masuri de securitate a datelor trebuie implementate, astfel incat cerintele GDPR sa fie respectate.
2. Donatorii
Exista situatii in care ONG-urile incaseaza donatiile prin contul bancar sau primesc datele donatorilor prin declaratia 200 depusa in numele lor. Mai mult, exista ONG-uricare au implementat un sistem de oferire a unor cadouri donatorilor ce trec de un anumit prag al donatiilor oferite sau care transmit rapoarte cu realizarile avute intro anume perioada sau intr-un anume proiect. In masura in care rapoartele transmise sau alte informari, in functie de continutul avut, ar putea fi calificate drept comunicari in scop de marketing, consimtamantul expres si particular al persoanei vizate ar trebui obtinut in prealabil.
Asadar, date cum sunt numele si prenumele donatorilor, datele bancare, adresa de e-mail sau numerele de telefon sunt adesea solicitate de ONG-urisi temeiurile prelucrarii reglementate de art. 6 din GDPR, dar si scopul prelucrarii datelor (cele de mai sus reprezentand doar exemple), trebuie avute in vedere. Informarea conforma a donatorilor anterior prelucrarii reprezinta o conditie importanta,ce poate fi realizata prin diverse mijloace, cum e afisarea pe site-ul ONGului sau la locul strangerii donatiilor si a completarii fiselor de donator, cu posibilitatea donarii doar dupa studierea notei respective si confirmarea prin semnatura a acestui demers.
3. Persoanele care beneficiaza de ajutor din partea ONG-ului
Atunci cand in campaniile organizate, ONG-ul dezvaluie date personale ale viitorilor beneficiari (cum sunt numele, varsta, imaginea, vocea, afectiunea avuta), trebuie respectate normele impuse de GDPR astfel incat sa se asigure prelucrarea conforma a datelor. Asadar, chestiuni cum sunt informarea prealabila a beneficiarilor cu privire la modul in care ii vor fi prelucrate datele si obtinerea consimtamantului lor sau al titularului autoritatii parintesti, dupa caz, sunt demersuri ce trebuie indeplinite. Evident, este necesara si respectarea principiilor fundamentale reglementate de Regulamentul european (spre exemplu, cel al minimizarii datelor), dar si luarea masurilor tehnice si organizationale adecvate pentru asigurarea protectiei datelor prelucrate, cu atat mai mult cu cat pot fi implicate categorii speciale de date cu caracter personal.
Cu privire la datele speciale, dorim sa mentionam ca interdictia de prelucrare a lor prevazuta de alin. (1) al art. 9 din GDPR nu se aplica in situatiile enumerate la alin. (2). Dintre acestea, pentru cazul ONG-urilor, consideram a fi cele mai importate exceptiile care vizeaza situatiile in care: persoana vizata si-a datconsimtamantul explicit; prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci cand persoana vizata se afla in incapacitate de a-si da consimtamantul; prelucrarea este efectuata in cadrul activitatilor lor legitime sicu garantii adecvate de catre un ONG cu specific politic, filozofic, religios sau sindical, cu conditia ca prelucrarea sa se refere numai la membrii sau la fostii membri ori la persoane cu care are contacte permanente sica datele cu caracter personalsa nu fie comunicate tertilor fara consimtamantul persoanelor vizate; prelucrarea se refera la date cu caracter personalcare sunt facute publice in mod manifest de catre persoana vizata; prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta; prelucrarea este necesara din motive de interes public major; prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament medical.
4. Angajatii
Desi este adevaratca nu toate ONG-urile au angajati, preferand din considerente de costsa isi desfasoare activitatea sprijininduse doar pe membrii lor si eventual pe voluntari, exista si situatii in care pentru anumite chestiuni sunt contractate persoane in baza unui contract individual de munca. De regula, vizata este partea de contabilitate si IT, insa nimic nu impiedica ONG-urile sa incheie contracte de munca si pentru alte arii de practica.
In acest cadru, precizam ca trebuie avuta in vedere necesitatea respectarii GDPR si fata de persoanele care au incheiat alt tip de contracte cu ONG-urile, cum sunt contractele de colaborare semnate cu PFA-uri sau contractele de management pentru segmentul de conducere.
Asadar, trebuie avute in vedere masuri precum: stabilirea obligatiei de confidentialitate a angajatilor, amendarea regulamentului intern, intocmirea de politici interne corespunzatoare si desemnarea unuia dintre angajati in calitate de responsabilcu protectia datelor sau de persoana de contact a persoanelor vizate si a autoritatii competente in domeniul protectiei datelor cu caracter personal, cu completarea fisei postului.
5. Prestatorii de servicii sau furnizorii de bunuri
Fara a exista o deosebire in raport cu situatia generala a societatilor comerciale, ONG-urile pot prelucra datele reprezentantilor si ale persoanelor de contact ale prestatorilor de servicii sau furnizorilor de bunuri cu care a incheiat contracte pentru derularea activitatii sale. Trebuie insa sa precizam ca si acesti prestatorisau furnizori vor prelucra date ale reprezentantilor ONGului si, posibil, chiar ale donatorilor si beneficiarilor donatilor. Asadar, recomandam semnarea unui contract sau a unui act aditional la contractele deja incheiate, prin care si prestatorii sau furnizorii respectivi sa isi asume in mod expres respectarea si implementarea GDPR, inclusiv obligatia de confidentialitate a datelor la care au acces.
In ceea ce priveste cazul particular al bisericilor si asociatiilor religioase, art. 91 din Regulamentul european prevede faptul ca si normele acestora de protectie a persoanelor fizice cu privire la prelucrarea de date personale trebuie aliniate la GDPR. Diferenta insa o reprezinta faptulca acest tip de entitati pot fi supuse supravegherii unei autoritati de supraveghere independente,care poate fi una specifica, cu conditia sa indeplineasca conditiile stabilite in capitolul VI din GDPR. Cu toate acestea, pana la momentul de fata, din informatiile noastre,singura autoritate constituita in Romania, ce are competente in domeniul protectiei datelor cu caracter personal, este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Asadar, raportat la ultima parte a ambelor definitii, putem constata ca legiuitorul european a stabilit o plansa extrem de larga a entitatilor ce pot indeplini calitatea de operator de date cu caracter personal, respectiv de persoana imputernicita a acestuia, elementul esential neconstituindu-l forma de organizarea a activitatii respectivei entitati, ci implicarea sa in procedura de prelucrare a datelor cu caracter personal.
In acest context,consideram ca si asociatiile, si fundatiile (denumite in continuare, generic, ONG-uri) pot fi incadrate in categoria operatorilor de date (fie ei independenti, fie asociati), dar si in cea a persoanelor imputernicite de operatori, fiind tinute de respectarea normelor impuse de GDPR.
In acest sens, atragem atentia asupra a cinci segmente principale de persoane vizate,ce trebuie avute in vedere de ONG-uri, intrucat activitatea efectuata implica prelucrarea datelor personale ale acestora:
1. Membri ai ONG-ului
La constituirea ONG-ului si la modificarea structurii membrilor sai este necesara prelucrarea datelor acestora cu caracter personal. Mai mult, atunci cand ONG-ul organizeaza diverse evenimente cum sunt cele pentru strangerea de fonduri, anumiti membri vor da interviuri, declaratii, lise va publica poza pe diverse site-urisi in diferite ziare etc.
Drept urmare, vorbim mai mult decat despre prelucrarea de date in scopul indeplinirii unei obligatii legale a operatorului si, deci, un alt temei al prelucrarii dintre cele indicate de art. 6 alin. (1) din GDPR ar trebui avut in vedere (spre exemplu,cel alconsimtamantului persoanei vizate cu avantajele si dezavantajele deja cunoscute, cel al necesitatii prelucrarii datelor pentru realizarea intereselor legitime urmarite de operator sau de un tert, fara insa ca acestea sa prevaleze in raport cu interesele sau drepturile si libertatile fundamentale ale persoanei vizate).
Prin urmare, recomandam indicarea in statutul ONG-ului sau intr-un alt act semnat de membri a tuturor informatiilor necesare membrilor in calitate de persoane vizate, precum si obtinerea consimtamantului lor daca se decide prelucrarea de date in baza acestui temei. Fireste ca si celelalte masuri de securitate a datelor trebuie implementate, astfel incat cerintele GDPR sa fie respectate.
2. Donatorii
Exista situatii in care ONG-urile incaseaza donatiile prin contul bancar sau primesc datele donatorilor prin declaratia 200 depusa in numele lor. Mai mult, exista ONG-uricare au implementat un sistem de oferire a unor cadouri donatorilor ce trec de un anumit prag al donatiilor oferite sau care transmit rapoarte cu realizarile avute intro anume perioada sau intr-un anume proiect. In masura in care rapoartele transmise sau alte informari, in functie de continutul avut, ar putea fi calificate drept comunicari in scop de marketing, consimtamantul expres si particular al persoanei vizate ar trebui obtinut in prealabil.
Asadar, date cum sunt numele si prenumele donatorilor, datele bancare, adresa de e-mail sau numerele de telefon sunt adesea solicitate de ONG-urisi temeiurile prelucrarii reglementate de art. 6 din GDPR, dar si scopul prelucrarii datelor (cele de mai sus reprezentand doar exemple), trebuie avute in vedere. Informarea conforma a donatorilor anterior prelucrarii reprezinta o conditie importanta,ce poate fi realizata prin diverse mijloace, cum e afisarea pe site-ul ONGului sau la locul strangerii donatiilor si a completarii fiselor de donator, cu posibilitatea donarii doar dupa studierea notei respective si confirmarea prin semnatura a acestui demers.
3. Persoanele care beneficiaza de ajutor din partea ONG-ului
Atunci cand in campaniile organizate, ONG-ul dezvaluie date personale ale viitorilor beneficiari (cum sunt numele, varsta, imaginea, vocea, afectiunea avuta), trebuie respectate normele impuse de GDPR astfel incat sa se asigure prelucrarea conforma a datelor. Asadar, chestiuni cum sunt informarea prealabila a beneficiarilor cu privire la modul in care ii vor fi prelucrate datele si obtinerea consimtamantului lor sau al titularului autoritatii parintesti, dupa caz, sunt demersuri ce trebuie indeplinite. Evident, este necesara si respectarea principiilor fundamentale reglementate de Regulamentul european (spre exemplu, cel al minimizarii datelor), dar si luarea masurilor tehnice si organizationale adecvate pentru asigurarea protectiei datelor prelucrate, cu atat mai mult cu cat pot fi implicate categorii speciale de date cu caracter personal.
Cu privire la datele speciale, dorim sa mentionam ca interdictia de prelucrare a lor prevazuta de alin. (1) al art. 9 din GDPR nu se aplica in situatiile enumerate la alin. (2). Dintre acestea, pentru cazul ONG-urilor, consideram a fi cele mai importate exceptiile care vizeaza situatiile in care: persoana vizata si-a datconsimtamantul explicit; prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci cand persoana vizata se afla in incapacitate de a-si da consimtamantul; prelucrarea este efectuata in cadrul activitatilor lor legitime sicu garantii adecvate de catre un ONG cu specific politic, filozofic, religios sau sindical, cu conditia ca prelucrarea sa se refere numai la membrii sau la fostii membri ori la persoane cu care are contacte permanente sica datele cu caracter personalsa nu fie comunicate tertilor fara consimtamantul persoanelor vizate; prelucrarea se refera la date cu caracter personalcare sunt facute publice in mod manifest de catre persoana vizata; prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta; prelucrarea este necesara din motive de interes public major; prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament medical.
4. Angajatii
Desi este adevaratca nu toate ONG-urile au angajati, preferand din considerente de costsa isi desfasoare activitatea sprijininduse doar pe membrii lor si eventual pe voluntari, exista si situatii in care pentru anumite chestiuni sunt contractate persoane in baza unui contract individual de munca. De regula, vizata este partea de contabilitate si IT, insa nimic nu impiedica ONG-urile sa incheie contracte de munca si pentru alte arii de practica.
In acest cadru, precizam ca trebuie avuta in vedere necesitatea respectarii GDPR si fata de persoanele care au incheiat alt tip de contracte cu ONG-urile, cum sunt contractele de colaborare semnate cu PFA-uri sau contractele de management pentru segmentul de conducere.
Asadar, trebuie avute in vedere masuri precum: stabilirea obligatiei de confidentialitate a angajatilor, amendarea regulamentului intern, intocmirea de politici interne corespunzatoare si desemnarea unuia dintre angajati in calitate de responsabilcu protectia datelor sau de persoana de contact a persoanelor vizate si a autoritatii competente in domeniul protectiei datelor cu caracter personal, cu completarea fisei postului.
5. Prestatorii de servicii sau furnizorii de bunuri
Fara a exista o deosebire in raport cu situatia generala a societatilor comerciale, ONG-urile pot prelucra datele reprezentantilor si ale persoanelor de contact ale prestatorilor de servicii sau furnizorilor de bunuri cu care a incheiat contracte pentru derularea activitatii sale. Trebuie insa sa precizam ca si acesti prestatorisau furnizori vor prelucra date ale reprezentantilor ONGului si, posibil, chiar ale donatorilor si beneficiarilor donatilor. Asadar, recomandam semnarea unui contract sau a unui act aditional la contractele deja incheiate, prin care si prestatorii sau furnizorii respectivi sa isi asume in mod expres respectarea si implementarea GDPR, inclusiv obligatia de confidentialitate a datelor la care au acces.
In ceea ce priveste cazul particular al bisericilor si asociatiilor religioase, art. 91 din Regulamentul european prevede faptul ca si normele acestora de protectie a persoanelor fizice cu privire la prelucrarea de date personale trebuie aliniate la GDPR. Diferenta insa o reprezinta faptulca acest tip de entitati pot fi supuse supravegherii unei autoritati de supraveghere independente,care poate fi una specifica, cu conditia sa indeplineasca conditiile stabilite in capitolul VI din GDPR. Cu toate acestea, pana la momentul de fata, din informatiile noastre,singura autoritate constituita in Romania, ce are competente in domeniul protectiei datelor cu caracter personal, este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Cazuri practice
26Aug2021
Publicarea pe internet a numerelor de inmatriculare se sanctioneaza cu amenda
de Colectivul de Specialisti Rentrop&Straton
26 Aug 2021
31Mar2019
A saptea Plenara a Comitetului European pentru Protectia Datelor (CEPD)
de Colectivul de Specialisti Rentrop&Straton
31 Mar 2019
Un produs marca