W jednym zdaniu. Stowarzyszenia i fundacje są administratorami danych członków, darczyńców i wolontariuszy — dane członków przetwarzają na podstawie art. 9 ust. 2 lit. d RODO dla działalności statutowej, a wyjątek z rejestru czynności zwykle nie działa nawet dla małych NGO.
RODO w stowarzyszeniach i fundacjach bywa lekceważone — panuje mit, że „organizacja non-profit nie musi". To błąd. NGO przetwarza dane osobowe na dużą skalę: listy członków, bazy darczyńców, dane wolontariuszy, zdjęcia z wydarzeń, listy przy zbiórce 1,5% podatku. Każdy z tych zbiorów rodzi konkretne obowiązki. Część NGO realizujących zadania publiczne styka się też z regułami sektora publicznego, które opisuję w tekście o RODO w administracji publicznej.
Najważniejsze punkty
- Stowarzyszenie i fundacja są administratorami danych członków, darczyńców i wolontariuszy.
- Dane członków (w tym ujawniające przekonania) przetwarza się na podstawie art. 9 ust. 2 lit. d RODO w ramach działalności statutowej.
- Fundraising i marketing wymagają odrębnych zgód.
- Listy do zbiórki 1,5% dla OPP wymagają podstawy i minimalizacji danych.
- Nawet małe NGO prowadzi rejestr czynności przetwarzania — wyjątek z art. 30 ust. 5 zwykle nie działa.
1. NGO jako administrator
Stowarzyszenie i fundacja samodzielnie decydują o celach przetwarzania — są administratorami. Dotyczy to danych członków, darczyńców, wolontariuszy, beneficjentów i pracowników. Każda z tych kategorii ma inną podstawę z art. 6 RODO:
| Kategoria | Podstawa prawna |
|---|---|
| Członkowie stowarzyszenia | art. 9 ust. 2 lit. d (działalność statutowa) |
| Darczyńcy | wykonanie umowy / obowiązek prawny (rozliczenia) |
| Wolontariusze | umowa wolontariacka / obowiązek prawny |
| Marketing i newsletter | zgoda (art. 6 ust. 1 lit. a) |
| Pracownicy | Kodeks pracy |
2. Dane członków — art. 9 ust. 2 lit. d
Członkostwo w stowarzyszeniu może ujawniać przekonania (np. organizacja światopoglądowa, związkowa, wyznaniowa) — to szczególna kategoria danych z art. 9 RODO. Podstawą przetwarzania jest art. 9 ust. 2 lit. d RODO, który zezwala fundacjom, stowarzyszeniom i innym podmiotom o celach politycznych, światopoglądowych, religijnych lub związkowych na przetwarzanie danych swoich członków i osób utrzymujących regularny kontakt w ramach działalności statutowej — pod warunkiem, że dane nie są ujawniane na zewnątrz bez zgody.
Praktyka: lista członków może być prowadzona w ramach statutu, ale jej udostępnienie na zewnątrz (np. publikacja) wymaga odrębnej zgody.
3. Darczyńcy i fundraising
Dane darczyńców przetwarza się dla realizacji darowizny i rozliczeń podatkowych (obowiązek prawny). Natomiast fundraising — ponawianie próśb o wsparcie, newsletter, kampanie — to marketing wymagający zgody na kanał elektroniczny (e-mail, SMS) zgodnie z przepisami o komunikacji elektronicznej. Reguły opisujemy w przewodniku po marketingu bezpośrednim.
Zasada: darowizna jednorazowa nie oznacza automatycznej zgody na dołączenie do bazy marketingowej.
4. Listy 1,5% dla OPP
Organizacje pożytku publicznego (OPP) otrzymują od urzędów skarbowych dane podatników, którzy przekazali 1,5% podatku — w zakresie określonym przepisami i tylko za zgodą podatnika wyrażoną w zeznaniu. NGO jest administratorem tych danych i musi:
- Przetwarzać je wyłącznie w celu wynikającym z przepisów o OPP.
- Nie wykorzystywać ich automatycznie do fundraisingu bez odrębnej zgody.
- Zabezpieczyć listę i ograniczyć do niej dostęp.
5. Publikacja wizerunku z wydarzeń
NGO często fotografuje wydarzenia, warsztaty, akcje. Wizerunek jest daną osobową. Publikacja zdjęć wymaga podstawy — zgody osoby lub, w węższych przypadkach, uzasadnionego interesu (np. zdjęcia tłumu z wydarzenia publicznego, gdzie nikt nie jest wyeksponowany). W przypadku dzieci konieczna jest zgoda opiekunów. Praktyka: zbieraj zgody na wizerunek przy zapisach na wydarzenie i oznaczaj strefy fotografowane.
6. Rejestr czynności i wolontariusze
Mit „małe NGO nie musi mieć rejestru" jest fałszywy. Zwolnienie z art. 30 ust. 5 RODO wymaga jednoczesnego spełnienia warunków (brak ryzyka, sporadyczność, brak danych szczególnych kategorii) — a NGO przetwarza dane członków (często szczególnej kategorii) i darczyńców regularnie. Dlatego rejestr czynności obowiązuje. Dane wolontariuszy (umowy, zaświadczenia) także wymagają podstawy i retencji.
Przy większych organizacjach warto ocenić, czy inspektor ochrony danych jest wymagany — obowiązek może powstać przy przetwarzaniu szczególnych kategorii danych na dużą skalę.
7. Legiscope w praktyce NGO
Organizacja z listami członków, bazą darczyńców, wolontariuszami i wydarzeniami musi utrzymać rejestr, klauzule i zgody bez rozbudowanego zaplecza administracyjnego. Platforma taka jak Legiscope pozwala prowadzić dokumentację RODO w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — co odciąża NGO działające na ograniczonych zasobach. Jeśli organizacja ma skalę małej firmy, dokumentacja może być prostsza, ale kompletna.
8. Zarząd, komisja rewizyjna i realizacja praw osób
W stowarzyszeniu dane członków przetwarzają organy statutowe: zarząd, komisja rewizyjna, walne zgromadzenie. Osoby zasiadające w tych organach oraz personel biura muszą mieć upoważnienia do przetwarzania (art. 29 RODO) i działać w granicach celu statutowego. Członkowie zachowują pełnię praw z RODO — dostępu, sprostowania, ograniczenia — w zakresie, w jakim nie kolidują one z obowiązkami statutowymi i archiwalnymi organizacji. Praktyka:
- Wyznacz osobę odpowiedzialną za obsługę wniosków członków i darczyńców.
- Prowadź rejestr zgód marketingowych z możliwością łatwego wycofania.
- Zapewnij, by lista członków nie krążyła w załącznikach e-mail poza organami.
9. Najczęstsze błędy organizacji pozarządowych
- Brak rejestru czynności w przekonaniu, że „małe NGO nie musi".
- Fundraising bez zgody — wysyłka próśb do jednorazowych darczyńców.
- Publikacja zdjęć z wydarzeń bez zgód, zwłaszcza z udziałem dzieci.
- Wykorzystanie list 1,5% OPP do marketingu bez odrębnej podstawy.
- Brak upoważnień dla członków zarządu i wolontariuszy.
- Lista członków rozsyłana w otwartych załącznikach.
- Brak umów powierzenia z biurem rachunkowym czy dostawcą systemu do zarządzania członkami.
Uporządkowanie tych obszarów nie wymaga dużego budżetu — wymaga świadomości, że NGO podlega RODO tak samo jak firma.
FAQ
Czy małe stowarzyszenie musi prowadzić rejestr czynności przetwarzania?
Tak, w praktyce. Zwolnienie z art. 30 ust. 5 RODO wymaga jednoczesnego spełnienia kilku warunków, a NGO przetwarza dane członków i darczyńców regularnie — często dane szczególnej kategorii. Dlatego rejestr czynności obowiązuje niezależnie od wielkości organizacji.
Na jakiej podstawie stowarzyszenie przetwarza dane członków?
Na podstawie art. 9 ust. 2 lit. d RODO, który zezwala organizacjom o celach politycznych, światopoglądowych, religijnych lub związkowych na przetwarzanie danych swoich członków w ramach działalności statutowej, o ile dane nie są ujawniane na zewnątrz bez zgody.
Czy fundacja może wysyłać prośby o darowizny do byłych darczyńców?
Tylko na podstawie zgody na marketing elektroniczny. Jednorazowa darowizna nie oznacza automatycznej zgody na dołączenie do bazy fundraisingowej. Ponowne prośby przez e-mail lub SMS wymagają odrębnej, dobrowolnej zgody.
Czy NGO może publikować zdjęcia z wydarzeń?
Wizerunek jest daną osobową, więc publikacja wymaga podstawy — zwykle zgody osoby, a w przypadku dzieci zgody opiekunów. W węższych sytuacjach (zdjęcia tłumu z wydarzenia publicznego, gdzie nikt nie jest wyeksponowany) podstawą może być uzasadniony interes. Zgody najlepiej zbierać przy zapisach.
Jak NGO może wykorzystać dane z list 1,5% OPP?
Wyłącznie w celu wynikającym z przepisów o organizacjach pożytku publicznego. Dane podatników przekazujących 1,5% nie mogą być automatycznie wykorzystane do fundraisingu — do tego potrzebna jest odrębna zgoda. Listę należy zabezpieczyć i ograniczyć do niej dostęp.
Podsumowanie
Organizacje pozarządowe podlegają RODO tak samo jak firmy — mit „małe NGO nie musi" nie znajduje oparcia w przepisach. Stowarzyszenie i fundacja są administratorami danych członków, darczyńców, wolontariuszy i beneficjentów, a członkostwo często ujawnia dane szczególnej kategorii, co samo w sobie wyłącza zwolnienie z rejestru czynności. Podstawą przetwarzania danych członków jest art. 9 ust. 2 lit. d RODO w ramach działalności statutowej, fundraising wymaga zgody, a publikacja wizerunku z wydarzeń — podstawy, zwłaszcza gdy w kadrze są dzieci. Uporządkowanie tych obszarów nie wymaga dużego budżetu, lecz świadomości i kilku dokumentów: rejestru czynności, klauzul informacyjnych, rejestru zgód, upoważnień dla organów oraz umów powierzenia z biurem rachunkowym i dostawcami narzędzi. To realny, osiągalny standard nawet dla organizacji działającej na wolontariacie.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial