Kampanie 1% powoli ruszają. Wkrótce zacznie się na dobre licytacja sponsorowana przez tajemnicze literki KRS. Dziś jednak nie o tym, choć pośrednio dotyka tematu jednego procenta.

Rokrocznie organizacje uprawnione do otrzymania 1% podatku otrzymują nie tylko przelewy (a właściwie dziesiątki przelewów od różnych urzędów skarbowych) ale i płytę z danymi osobowymi podatników. Znajdują się na niej dane osób, które przekazały 1% podatku i wyraziły zgodę na przekazanie tych danych organizacji. Wielu przedstawicieli zastanawia się, co z takimi danymi mogę zrobić? Czy mogę wysłać podziękowanie? Czy mogę je przenieść do systemu CRM? Może powinienem wyrzucić płytę (oczywiście po jej zniszczeniu)?

Czy te dane można przetwarzać?

TAK. Dane można przetwarzać. Prawną podstawą jest art. 6 ust. 1 lit. RODO (Zwane też GDPR, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Przetwarzamy je więc na podstawie prawnie uzasadnionego interesu. Będzie możliwe zatem przesłanie podziękowania za przekazane wsparcie.

Kto będzie administratorem danych?

Administratorem będzie organizacja, która je otrzymała. To organizacja decyduje o właściwym ich wykorzystaniu oraz odpowiada za ich zabezpieczenie. Musi zatem zarówno przechowywać ją w postaci bezpiecznej (płyty nie powinno się przechowywać w ogólnodostępnym miejscu, a przed wyrzuceniem należy dokładnie zniszczyć uniemożliwiając odczyt danych) jak i pamiętać o zasadzie rozliczalności. Wskazuje ona na możliwość udokumentowania zabezpieczeń jak i upoważnień udzielanych do przetwarzania tych danych. W zabezpieczeniu danych chętnie Tobie i Twojej organizacji pomożemy. Wystarczy, że do nas napiszesz.

Czy mogę tak po prostu wysłać list do podatników?

I tak i nie. Jako administrator danych masz pewne obowiązki – musisz poinformować osoby, których dane dotyczą o kilku rzeczach. Jest to obowiązek informacyjny, na który wskazuje art. 14 ust. 1-2 RODO:

1.

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń, art. 47 wiążące reguły korporacyjnych lub art. 49 wyjątki w szczególnych sytuacjach ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
2.
Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 zgodność przetwarzania z prawem ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 zgodność przetwarzania z prawem ust. 1 lit. a) lub art. przetwarzanie szczególnych kategorii danych osobowych ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Należy pamiętać, że klauzula ta MUSI być napisana prostym językiem. Możesz ją zawrzeć na tej samej kartce, co list z podziękowaniem albo dołączyć inną kartkę. Obowiązek informacyjny trzeba spełnić przy pierwszym kontakcie z podatnikiem – darczyńcą.

Czy podatnik może usunąć dane z naszej bazy?

Na podstawie art. 18 RODO każdy, którego dane dotyczą ma prawo do żądania ograniczenia przetwarzania. Prawo do bycia zapomnianym w tym konkretnym przypadku może nie mieć zastosowania. Tę kwestię pozostawiam do oceny każdemu administratorowi z osobna. Ja natomiast osobiście zalecam, aby umożliwić podatnikowi usunięcia swoich danych – głównie dla celów wizerunkowych. Dlaczego? Jeżeli sprzeciwimy się usunięciu danych lub zaprzestaniu dalszego przetwarzania – zapewne od tej osoby nie będziemy mogli liczyć na dalsze wsparcie. Będzie miała raczej negatywne zdanie o naszej organizacji, może również złożyć na nas skargę do Prezesa Urzędu Ochrony Danych Osobowych. Warto więc chyba posłuchać naszego darczyńcy i chociażby nie przesyłać do niego więcej listów czy e-maili.

Podsumowując

Pod warunkiem odpowiedniego zabezpieczenia danych jest możliwe przesłanie do podatnika, który przekazał nam 1% podatku podziękowania za przekazane wsparcie. Musimy jednak pamiętać o spełnieniu obowiązku informacyjnego.

Pamiętaj jednak, że danych tych nie możesz udostępniać innym podmiotom np. osobom obdarowanym. W szczególności dotyka to tzw. organizacji pośredniczących w pozyskaniu 1%. Aby móc tego dokonać potrzebujesz oddzielnej zgody.

Źródła:

  1. Komunikat – stanowisko Urzędu Ochrony Danych Osobowych [stan na dzień 08.02.2019 r.]
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)