Jakie obowiązki związane z ochroną danych ma stowarzyszenie

Marcin Sarna

Autor: Marcin Sarna

Dodano: 4 stycznia 2017
Jakie obowiązki związane z ochroną danych ma stowarzyszenie
Pytanie:  Jak powinna wyglądać ochrona danych osobowych w stowarzyszeniach, które szkolą i egzaminują różne osoby i nadają im uprawnienia np. do obsługi urządzeń energetycznych. W formularzach podaje się dużo danych: imię, nazwisko, PESEL, dowód osobisty, datę i miejsce urodzenia, wykształcenie itp. Czy w takich stowarzyszeniach powinien być ABI?
Odpowiedź: 

Stowarzyszenia podlegają przepisom o ochronie danych osobowych na dokładnie takich samych zasadach, jak inne podmioty prawa. Jeżeli administrator danych oceni, że powinien powołać administratora bezpieczeństwa informacji, może to zrobić.

Stowarzyszenia są regulowane ustawą z 7 kwietnia 1989 r. – Prawo o stowarzyszeniach. Są dwa rodzaje stowarzyszeń: stowarzyszenie wpisane do Krajowego Rejestru Sądowego oraz stowarzyszenie zwykłe.

Każde stowarzyszenie jest dobrowolnym, samorządnym, trwałym zrzeszeniem o celach niezarobkowych. Stowarzyszenie samodzielnie określa swoje cele, programy działania i struktury organizacyjne oraz uchwala akty wewnętrzne dotyczące jego działalności. Statut stowarzyszenia określa między innymi cele stowarzyszenia i sposoby realizacji tych celów.

Najwyższą władzą stowarzyszenia jest walne zebranie członków. Stowarzyszenie jest obowiązane posiadać zarząd i organ kontroli wewnętrznej. Tak jest w przypadku stowarzyszenia wpisanego do KRS zaś stowarzyszenie zwykłe reprezentuje albo przedstawiciel albo zarząd.

Co z ochroną danych osobowych w stowarzyszeniach

Stowarzyszenia podlegają przepisom o ochronie danych osobowych na dokładnie takich samych zasadach, jak inne podmioty prawa. Mogą mieć status administratora danych osobowych, bowiem przez to pojęcie należy rozumieć organ, jednostkę organizacyjną, osobę prawną czy jednostkę organizacyjną nieposiadającą osobowości prawnej, jeśli decydują o celach i środkach przetwarzania danych osobowych.

Zatem to podmioty, które przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych będą co do zasady administratorami danych osobowych wykorzystywanych w ramach ich działalności. W przypadku stowarzyszenia, to ono będzie administratorem danych osobowych, a nie jego organy czy osoby je reprezentujące.

Stowarzyszenie będzie administratorem danych osobowych niezależnie od tego, czy powierzy przetwarzanie danych osobowych w drodze umowy innemu podmiotowi czy też zostanie wyznaczony pracownik w strukturze stowarzyszenia odpowiedzialny za przetwarzanie danych osobowych.

Kto zajmuje się ochroną danych w stowarzyszeniu

W stowarzyszeniu może być wyznaczony administrator bezpieczeństwa informacji. Obecnie nie ma obowiązku ustanowienia administratora bezpieczeństwa informacji. Decyzja o jego wyznaczeniu została więc oddana samemu administratorowi danych osobowych.

Powinien on ocenić potrzebę powołania ABI w swojej organizacji, kierując się zakresem przetwarzanych danych osobowych, ich rodzajem oraz wymaganym poziomem ochrony przetwarzania tych danych. Jeżeli więc stowarzyszenie uzna, że ABI nie potrzebuje – to nie musi go ustanawiać.

Ważne:

Jeśli stowarzyszenie nie powoła administratora bezpieczeństwa informacji, jego obowiązki będzie wypełniał administrator danych osobowych, czyli samo stowarzyszenie.

Jakie zmiany wprowadzi unijne rozporządzenie o ochronie danych

Sytuacja zmieni się wskutek tzw. GDPR, czyli rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Będzie ono bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r.

Od tej daty też ABI zostanie zastąpiony tzw. inspektorem ochrony danych, którego ustanowienie będzie obowiązkowe, gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

2) główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

3) główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Uwaga

Nawet, gdy ogólne rozporządzenie o ochronie danych osobowych zacznie być stosowane, stowarzyszenia nie będą miały co do zasady obowiązku ustanawiania inspektorów ochrony danych, chyba że będą miały status podmiotu publicznego.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x