Ochrona Danych

RODO w stowarzyszeniach i fundacjach: obowiązki

RODO w stowarzyszeniach i fundacjach: dane członków i darczyńców, fundraising, listy 1,5% OPP, publikacja wizerunku i rejestr czynności dla NGO.

Also available in:Français·Deutsch

W jednym zdaniu. Stowarzyszenia i fundacje są administratorami danych członków, darczyńców i wolontariuszy — dane członków przetwarzają na podstawie art. 9 ust. 2 lit. d RODO dla działalności statutowej, a wyjątek z rejestru czynności zwykle nie działa nawet dla małych NGO.

RODO w stowarzyszeniach i fundacjach bywa lekceważone — panuje mit, że „organizacja non-profit nie musi". To błąd. NGO przetwarza dane osobowe na dużą skalę: listy członków, bazy darczyńców, dane wolontariuszy, zdjęcia z wydarzeń, listy przy zbiórce 1,5% podatku. Każdy z tych zbiorów rodzi konkretne obowiązki. Część NGO realizujących zadania publiczne styka się też z regułami sektora publicznego, które opisuję w tekście o RODO w administracji publicznej.

Najważniejsze punkty

  • Stowarzyszenie i fundacja są administratorami danych członków, darczyńców i wolontariuszy.
  • Dane członków (w tym ujawniające przekonania) przetwarza się na podstawie art. 9 ust. 2 lit. d RODO w ramach działalności statutowej.
  • Fundraising i marketing wymagają odrębnych zgód.
  • Listy do zbiórki 1,5% dla OPP wymagają podstawy i minimalizacji danych.
  • Nawet małe NGO prowadzi rejestr czynności przetwarzania — wyjątek z art. 30 ust. 5 zwykle nie działa.

1. NGO jako administrator

Stowarzyszenie i fundacja samodzielnie decydują o celach przetwarzania — są administratorami. Dotyczy to danych członków, darczyńców, wolontariuszy, beneficjentów i pracowników. Każda z tych kategorii ma inną podstawę z art. 6 RODO:

Kategoria Podstawa prawna
Członkowie stowarzyszenia art. 9 ust. 2 lit. d (działalność statutowa)
Darczyńcy wykonanie umowy / obowiązek prawny (rozliczenia)
Wolontariusze umowa wolontariacka / obowiązek prawny
Marketing i newsletter zgoda (art. 6 ust. 1 lit. a)
Pracownicy Kodeks pracy

2. Dane członków — art. 9 ust. 2 lit. d

Członkostwo w stowarzyszeniu może ujawniać przekonania (np. organizacja światopoglądowa, związkowa, wyznaniowa) — to szczególna kategoria danych z art. 9 RODO. Podstawą przetwarzania jest art. 9 ust. 2 lit. d RODO, który zezwala fundacjom, stowarzyszeniom i innym podmiotom o celach politycznych, światopoglądowych, religijnych lub związkowych na przetwarzanie danych swoich członków i osób utrzymujących regularny kontakt w ramach działalności statutowej — pod warunkiem, że dane nie są ujawniane na zewnątrz bez zgody.

Praktyka: lista członków może być prowadzona w ramach statutu, ale jej udostępnienie na zewnątrz (np. publikacja) wymaga odrębnej zgody.

3. Darczyńcy i fundraising

Dane darczyńców przetwarza się dla realizacji darowizny i rozliczeń podatkowych (obowiązek prawny). Natomiast fundraising — ponawianie próśb o wsparcie, newsletter, kampanie — to marketing wymagający zgody na kanał elektroniczny (e-mail, SMS) zgodnie z przepisami o komunikacji elektronicznej. Reguły opisujemy w przewodniku po marketingu bezpośrednim.

Zasada: darowizna jednorazowa nie oznacza automatycznej zgody na dołączenie do bazy marketingowej.

4. Listy 1,5% dla OPP

Organizacje pożytku publicznego (OPP) otrzymują od urzędów skarbowych dane podatników, którzy przekazali 1,5% podatku — w zakresie określonym przepisami i tylko za zgodą podatnika wyrażoną w zeznaniu. NGO jest administratorem tych danych i musi:

  • Przetwarzać je wyłącznie w celu wynikającym z przepisów o OPP.
  • Nie wykorzystywać ich automatycznie do fundraisingu bez odrębnej zgody.
  • Zabezpieczyć listę i ograniczyć do niej dostęp.

5. Publikacja wizerunku z wydarzeń

NGO często fotografuje wydarzenia, warsztaty, akcje. Wizerunek jest daną osobową. Publikacja zdjęć wymaga podstawy — zgody osoby lub, w węższych przypadkach, uzasadnionego interesu (np. zdjęcia tłumu z wydarzenia publicznego, gdzie nikt nie jest wyeksponowany). W przypadku dzieci konieczna jest zgoda opiekunów. Praktyka: zbieraj zgody na wizerunek przy zapisach na wydarzenie i oznaczaj strefy fotografowane.

6. Rejestr czynności i wolontariusze

Mit „małe NGO nie musi mieć rejestru" jest fałszywy. Zwolnienie z art. 30 ust. 5 RODO wymaga jednoczesnego spełnienia warunków (brak ryzyka, sporadyczność, brak danych szczególnych kategorii) — a NGO przetwarza dane członków (często szczególnej kategorii) i darczyńców regularnie. Dlatego rejestr czynności obowiązuje. Dane wolontariuszy (umowy, zaświadczenia) także wymagają podstawy i retencji.

Przy większych organizacjach warto ocenić, czy inspektor ochrony danych jest wymagany — obowiązek może powstać przy przetwarzaniu szczególnych kategorii danych na dużą skalę.

7. Legiscope w praktyce NGO

Organizacja z listami członków, bazą darczyńców, wolontariuszami i wydarzeniami musi utrzymać rejestr, klauzule i zgody bez rozbudowanego zaplecza administracyjnego. Platforma taka jak Legiscope pozwala prowadzić dokumentację RODO w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — co odciąża NGO działające na ograniczonych zasobach. Jeśli organizacja ma skalę małej firmy, dokumentacja może być prostsza, ale kompletna.

8. Zarząd, komisja rewizyjna i realizacja praw osób

W stowarzyszeniu dane członków przetwarzają organy statutowe: zarząd, komisja rewizyjna, walne zgromadzenie. Osoby zasiadające w tych organach oraz personel biura muszą mieć upoważnienia do przetwarzania (art. 29 RODO) i działać w granicach celu statutowego. Członkowie zachowują pełnię praw z RODO — dostępu, sprostowania, ograniczenia — w zakresie, w jakim nie kolidują one z obowiązkami statutowymi i archiwalnymi organizacji. Praktyka:

  • Wyznacz osobę odpowiedzialną za obsługę wniosków członków i darczyńców.
  • Prowadź rejestr zgód marketingowych z możliwością łatwego wycofania.
  • Zapewnij, by lista członków nie krążyła w załącznikach e-mail poza organami.

9. Najczęstsze błędy organizacji pozarządowych

  1. Brak rejestru czynności w przekonaniu, że „małe NGO nie musi".
  2. Fundraising bez zgody — wysyłka próśb do jednorazowych darczyńców.
  3. Publikacja zdjęć z wydarzeń bez zgód, zwłaszcza z udziałem dzieci.
  4. Wykorzystanie list 1,5% OPP do marketingu bez odrębnej podstawy.
  5. Brak upoważnień dla członków zarządu i wolontariuszy.
  6. Lista członków rozsyłana w otwartych załącznikach.
  7. Brak umów powierzenia z biurem rachunkowym czy dostawcą systemu do zarządzania członkami.

Uporządkowanie tych obszarów nie wymaga dużego budżetu — wymaga świadomości, że NGO podlega RODO tak samo jak firma.

FAQ

Czy małe stowarzyszenie musi prowadzić rejestr czynności przetwarzania?

Tak, w praktyce. Zwolnienie z art. 30 ust. 5 RODO wymaga jednoczesnego spełnienia kilku warunków, a NGO przetwarza dane członków i darczyńców regularnie — często dane szczególnej kategorii. Dlatego rejestr czynności obowiązuje niezależnie od wielkości organizacji.

Na jakiej podstawie stowarzyszenie przetwarza dane członków?

Na podstawie art. 9 ust. 2 lit. d RODO, który zezwala organizacjom o celach politycznych, światopoglądowych, religijnych lub związkowych na przetwarzanie danych swoich członków w ramach działalności statutowej, o ile dane nie są ujawniane na zewnątrz bez zgody.

Czy fundacja może wysyłać prośby o darowizny do byłych darczyńców?

Tylko na podstawie zgody na marketing elektroniczny. Jednorazowa darowizna nie oznacza automatycznej zgody na dołączenie do bazy fundraisingowej. Ponowne prośby przez e-mail lub SMS wymagają odrębnej, dobrowolnej zgody.

Czy NGO może publikować zdjęcia z wydarzeń?

Wizerunek jest daną osobową, więc publikacja wymaga podstawy — zwykle zgody osoby, a w przypadku dzieci zgody opiekunów. W węższych sytuacjach (zdjęcia tłumu z wydarzenia publicznego, gdzie nikt nie jest wyeksponowany) podstawą może być uzasadniony interes. Zgody najlepiej zbierać przy zapisach.

Jak NGO może wykorzystać dane z list 1,5% OPP?

Wyłącznie w celu wynikającym z przepisów o organizacjach pożytku publicznego. Dane podatników przekazujących 1,5% nie mogą być automatycznie wykorzystane do fundraisingu — do tego potrzebna jest odrębna zgoda. Listę należy zabezpieczyć i ograniczyć do niej dostęp.

Podsumowanie

Organizacje pozarządowe podlegają RODO tak samo jak firmy — mit „małe NGO nie musi" nie znajduje oparcia w przepisach. Stowarzyszenie i fundacja są administratorami danych członków, darczyńców, wolontariuszy i beneficjentów, a członkostwo często ujawnia dane szczególnej kategorii, co samo w sobie wyłącza zwolnienie z rejestru czynności. Podstawą przetwarzania danych członków jest art. 9 ust. 2 lit. d RODO w ramach działalności statutowej, fundraising wymaga zgody, a publikacja wizerunku z wydarzeń — podstawy, zwłaszcza gdy w kadrze są dzieci. Uporządkowanie tych obszarów nie wymaga dużego budżetu, lecz świadomości i kilku dokumentów: rejestru czynności, klauzul informacyjnych, rejestru zgód, upoważnień dla organów oraz umów powierzenia z biurem rachunkowym i dostawcami narzędzi. To realny, osiągalny standard nawet dla organizacji działającej na wolontariacie.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →