~ 2025-11-10 ~
RODO w NGO to zestaw reguł, które chronią uczestników i organizację przez nieuprawnionym wykorzystaniem danych osobowych. Fundacje i stowarzyszenia zwykle zbierają dane wolontariuszy, darczyńców, członków oraz osób korzystających ze wsparcia, więc muszą umieć wytłumaczyć, co robią z informacjami. Kluczowe pytanie brzmi po co dane są potrzebne i jak długo będą przechowywane. Dobrze poukładane RODO wzmacnia zaufanie do organizacji i oszczędza nerwy zarządowi, gdy pojawi się kontrola lub prośba o usunięcie danych.
NGO najczęściej działa jako administrator danych, czyli sama decyduje o celach i sposobach przetwarzania. Jeżeli zapisujesz uczestnika na warsztat i ustalasz zasady udziału, często opierasz zbieranie danych na wykonaniu umowy lub regulaminu. Gdy rozliczasz dotację, prowadzisz księgowość albo dokumentujesz zatrudnienie, wchodzisz w obowiązek prawny. Dopiero gdy nie masz innej przesłanki, sięgasz po zgodę, którą można łatwo wycofać. Taki katalog podstaw opisuje art. 6 RODO.
Kolejno narysuj prostą mapę danych: skąd je bierzesz, gdzie je trzymasz i komu je udostępniasz. Potem opisz procesy w rejestrze czynności przetwarzania, bo to dokument, który trzyma w ryzach codzienność projektową. Wpisujesz tam cel, kategorie osób, zakres danych, podstawę prawną, odbiorców oraz terminy usuwania. Równocześnie sprawdzaj, czy zbierasz tylko to, co niezbędne, bo minimalizacja działa jak dieta: zostaje to, co potrzebne, a odpada „na wszelki wypadek”. Jeżeli pracujesz z danymi dzieci albo danymi o zdrowiu, podnieś poziom ostrożności i ogranicz dostęp. Materiały dla NGO mocno akcentują mapowanie i podejście oparte na ryzyku.
Dalej przejdź do formularzy, bo to one najczęściej zdradzają, czy organizacja ma RODO „w głowie”. W wielu działaniach wystarczy imię, nazwisko i kontakt, a dodatkowe pola dodajesz tylko wtedy, gdy wynikają z kryteriów projektu. Kiedy prosisz o PESEL, informacje o niepełnosprawności albo szczególne potrzeby żywieniowe, uzasadnij to celem i zawęź zakres. Zadbaj też o retencję, czyli plan usuwania danych, bo RODO nie lubi archiwów tworzonych bez końca. Jeżeli stowarzyszenie przetwarza dane członków, zwykle opiera je na relacji członkostwa, a nie na zgodzie. W poradnikach ngo.pl przypomina się również, że obowiązek informacyjny spełniasz już przy zbieraniu danych.
Wreszcie rozdziel dwie rzeczy, które często się miesza: klauzulę informacyjną i same zgody. W klauzuli podajesz administratora, kontakt, cele, podstawy, odbiorców, okres przechowywania, prawa osoby oraz informację o skardze do UODO. Zgody zbieraj osobno i tylko na cele fakultatywne, na przykład na publikację wizerunku, wysyłkę newslettera lub przekazanie danych partnerowi jako odrębnemu administratorowi. Pamiętaj, że zgoda ma być dobrowolna, konkretna i odwoływalna, więc nie łącz jej z samym udziałem w działaniu. Możesz użyć takiego skrótu w formularzu: „zapoznałem/-am się z klauzulą informacyjną” oraz osobnych pól: „wyrażam zgodę na publikację wizerunku” i „wyrażam zgodę na informacje e-mail”. Elementy obowiązku informacyjnego przy zbieraniu danych od osoby wynikają z art. 13 RODO, więc warto sprawdzić, czy niczego nie brakuje.
Na koniec w RODO w NGO ustaw zabezpieczenia i zasady współpracy z dostawcami, bo dane „wychodzą” z NGO częściej niż nam się wydaje. Wprowadź hasła, uprawnienia, kopie zapasowe i reguły pracy na prywatnych urządzeniach, a przy papierach ustal, kto i kiedy ma do nich dostęp. Podpisuj umowy powierzenia z księgowością, firmą IT czy narzędziami online, żeby było jasne, jak przetwarzają dane w twoim imieniu. Opracuj też krótką procedurę naruszeń i obsługi żądań, bo ktoś może poprosić o dostęp, sprostowanie lub usunięcie informacji. Gdy w grę wchodzi zgoda, zapewnij równie łatwe jej wycofanie, jak jej udzielenie, bo inaczej robisz sobie problem na własne życzenie. RODO wymaga, żeby wycofanie zgody było tak łatwe jak jej wyrażenie. Po szybki skrót zajrzyj do tekstu „RODO w NGO – najważniejsze fakty” oraz do materiału o rekrutacji personelu.
