Jakie obowiązki związane z ochroną danych ma stowarzyszenie

Stowarzyszenia są regulowane ustawą z 7 kwietnia 1989 r. – Prawo o stowarzyszeniach. Są dwa rodzaje stowarzyszeń: stowarzyszenie wpisane do Krajowego Rejestru Sądowego oraz stowarzyszenie zwykłe.

Każde stowarzyszenie jest dobrowolnym, samorządnym, trwałym zrzeszeniem o celach niezarobkowych. Stowarzyszenie samodzielnie określa swoje cele, programy działania i struktury organizacyjne oraz uchwala akty wewnętrzne dotyczące jego działalności. Statut stowarzyszenia określa między innymi cele stowarzyszenia i sposoby realizacji tych celów.

Najwyższą władzą stowarzyszenia jest walne zebranie członków. Stowarzyszenie jest obowiązane posiadać zarząd i organ kontroli wewnętrznej. Tak jest w przypadku stowarzyszenia wpisanego do KRS zaś stowarzyszenie zwykłe reprezentuje albo przedstawiciel albo zarząd.

Stowarzyszenia podlegają przepisom o ochronie danych osobowych na dokładnie takich samych zasadach, jak inne podmioty prawa. Mogą mieć status administratora danych osobowych, bowiem przez to pojęcie należy rozumieć organ, jednostkę organizacyjną, osobę prawną czy jednostkę organizacyjną nieposiadającą osobowości prawnej, jeśli decydują o celach i środkach przetwarzania danych osobowych.

Zatem to podmioty, które przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych będą co do zasady administratorami danych osobowych wykorzystywanych w ramach ich działalności. W przypadku stowarzyszenia, to ono będzie administratorem danych osobowych, a nie jego organy czy osoby je reprezentujące.

Stowarzyszenie będzie administratorem danych osobowych niezależnie od tego, czy powierzy przetwarzanie danych osobowych w drodze umowy innemu podmiotowi czy też zostanie wyznaczony pracownik w strukturze stowarzyszenia odpowiedzialny za przetwarzanie danych osobowych.

W stowarzyszeniu może być wyznaczony administrator bezpieczeństwa informacji. Obecnie nie ma obowiązku ustanowienia administratora bezpieczeństwa informacji. Decyzja o jego wyznaczeniu została więc oddana samemu administratorowi danych osobowych.

Powinien on ocenić potrzebę powołania ABI w swojej organizacji, kierując się zakresem przetwarzanych danych osobowych, ich rodzajem oraz wymaganym poziomem ochrony przetwarzania tych danych. Jeżeli więc stowarzyszenie uzna, że ABI nie potrzebuje – to nie musi go ustanawiać.

Sytuacja zmieni się wskutek tzw. GDPR, czyli rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Będzie ono bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r.

Od tej daty też ABI zostanie zastąpiony tzw. inspektorem ochrony danych, którego ustanowienie będzie obowiązkowe, gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

2) główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

3) główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.