RODO w fundacji: odmowa i dalsze kroki prawne

Fundacje, jako podmioty realizujące cele pożytku publicznego, charytatywne, edukacyjne czy społeczne, codziennie obracają ogromnymi ilościami danych osobowych. Beneficjenci, darczyńcy, wolontariusze, pracownicy oraz kooperanci – to tylko niektóre grupy osób, których dane trafiają do baz fundacyjnych. Wraz z wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych (RODO), na organizacje pozarządowe nałożono szereg obowiązków, a osobom fizycznym przyznano silne instrumenty kontroli nad ich własnymi informacjami. W praktyce jednak nierzadko dochodzi do sytuacji, w których fundacja odmawia realizacji praw przysługujących osobie, której dane dotyczą. Może to wynikać z nieznajomości przepisów, błędnej interpretacji prawa lub obiektywnych przeszkód prawnych, które uniemożliwiają spełnienie żądania. Niniejszy artykuł szczegółowo omawia procedurę postępowania w przypadku odmowy ze strony fundacji oraz wskazuje dalsze kroki prawne, jakie może podjąć osoba poszkodowana.

Specyfika statusu fundacji jako administratora danych osobowych

Z punktu widzenia przepisów o ochronie danych osobowych, fundacja posiada status administratora danych (ADO). Oznacza to, że samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych. Status ten wiąże się z pełną odpowiedzialnością za zapewnienie zgodności procesów przetwarzania z zasadami RODO. Wiele mniejszych fundacji opiera swoje działanie na pracy społecznej wolontariuszy i nie zatrudnia wyspecjalizowanych kadr prawnych, co bywa przyczyną uchybień proceduralnych. Należy jednak pamiętać, że brak charakteru komercyjnego czy szczytny cel działania nie zwalniają fundacji z rygorystycznego przestrzegania prawa. Każda osoba, której dane są przetwarzane przez fundację, ma prawo oczekiwać pełnej transparentności i poszanowania jej praw.

Katalog praw przysługujących osobom fizycznym wobec fundacji

Aby zrozumieć istotę odmowy, należy najpierw zdefiniować, jakich uprawnień może domagać się osoba fizyczna od fundacji. RODO przyznaje szereg praw, z których najczęściej realizowanymi są:

  • Prawo dostępu do danych (art. 15 RODO): Każda osoba ma prawo uzyskać od fundacji potwierdzenie, czy przetwarzane są jej dane, a także otrzymać kopię tych danych oraz szczegółowe informacje o celach przetwarzania, kategoriach danych i odbiorcach.
  • Prawo do sprostowania danych (art. 16 RODO): Umożliwia żądanie niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych.
  • Prawo do usunięcia danych, czyli "prawo do bycia zapomnianym" (art. 17 RODO): Pozwala na żądanie usunięcia danych, jeżeli np. wycofano zgodę na przetwarzanie, dane nie są już niezbędne do celów, w których zostały zebrane, lub były przetwarzane niezgodnie z prawem.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO): Osoba może żądać, aby fundacja ograniczyła przetwarzanie wyłącznie do przechowywania danych w określonych sytuacjach (np. gdy kwestionowana jest prawidłowość danych).
  • Prawo do przenoszenia danych (art. 20 RODO): Daje możliwość otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie i przesłania ich innemu administratorowi.
  • Prawo do sprzeciwu (art. 21 RODO): Pozwala na wniesienie sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie fundacji (np. w celach marketingu bezpośredniego).

Kiedy fundacja ma prawo odmówić realizacji wniosku?

Prawa przyznane przez RODO nie mają charakteru absolutnego. Istnieją sytuacje, w których fundacja może – a czasem nawet musi – odmówić spełnienia żądania wnioskodawcy. Najczęstsze podstawy prawne uzasadniające odmowę to:

  1. Obowiązek prawny ciążący na fundacji: Jeżeli przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku (np. przechowywanie danych darczyńców w celach podatkowo-księgowych na podstawie ustawy o rachunkowości). W takim przypadku prawo do usunięcia danych (bycia zapomnianym) zostaje wyłączone w zakresie tych dokumentów.
  2. Ustalenie, dochodzenie lub obrona roszczeń: Fundacja może odmówić usunięcia danych, jeśli są one niezbędne do obrony przed ewentualnymi roszczeniami prawnymi (np. w związku z realizacją umowy wolontariackiej lub darowizny).
  3. Cele statystyczne, archiwalne lub badania naukowe: RODO przewiduje pewne wyłączenia, jeśli usunięcie danych uniemożliwiłoby lub poważnie utrudniło realizację tych celów, pod warunkiem zastosowania odpowiednich zabezpieczeń.
  4. Wnioski ewidentnie nieuzasadnione lub nadmierne: Zgodnie z art. 12 ust. 5 RODO, jeżeli żądania osoby są ustawicznie powtarzane lub mają charakter nękający, fundacja może pobrać rozsądną opłatę uwzględniającą koszty administracyjne lub całkowicie odmówić podjęcia działań. Ciężar wykazania nadmierności wniosku spoczywa jednak na fundacji.

Procedura rozpatrywania wniosków i obowiązujące terminy

Fundacja jako administrator jest zobowiązana do sprawnego i terminowego procesowania wniosków. Kluczowym terminem jest jeden miesiąc od dnia otrzymania żądania. W tym czasie fundacja musi udzielić merytorycznej odpowiedzi lub zrealizować wniosek. W sprawach szczególnie skomplikowanych lub przy dużej liczbie wniosków, termin ten może zostać przedłużony o kolejne dwa miesiące. Fundacja ma jednak bezwzględny obowiązek poinformować wnioskodawcę o takim przedłużeniu w ciągu pierwszego miesiąca, podając konkretne przyczyny opóźnienia.

Jeżeli fundacja decyduje się na odmowę realizacji wniosku, nie może po prostu zignorować pisma. Odmowa musi przybrać formę oficjalnego stanowiska (pisemnego lub elektronicznego), w którym fundacja szczegółowo wyjaśnia przyczyny odmowy (wskazuje podstawę prawną i faktyczną) oraz poucza wnioskodawcę o przysługujących mu środkach ochrony prawnej – w tym o prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz do wniesienia skargi do sądu.

Rola Inspektora Ochrony Danych (IOD) w fundacji

Warto pamiętać, że wiele fundacji, zwłaszcza tych zajmujących się ochroną zdrowia, pomocą medyczną czy wsparciem osób w trudnej sytuacji życiowej, przetwarza tzw. dane szczególnych kategorii (dane wrażliwe), takie jak informacje o stanie zdrowia, orzeczeniach o niepełnosprawności czy sytuacji majątkowej. W takich przypadkach fundacje często powołują Inspektora Ochrony Danych (IOD). Jeśli fundacja wyznaczyła IOD, to właśnie do tej osoby w pierwszej kolejności należy skierować wszelkie wątpliwości oraz wnioski dotyczące realizacji praw RODO. Dane kontaktowe do IOD powinny być łatwo dostępne na stronie internetowej fundacji oraz w jej polityce prywatności. Kontakt z IOD często pozwala na polubowne i szybkie wyjaśnienie sprawy bez konieczności angażowania organów państwowych, ponieważ inspektor jako niezależny ekspert dba o zgodność działań fundacji z prawem i może skorygować błędną decyzję zarządu.

Dalsze kroki prawne w przypadku nieuzasadnionej odmowy

Jeśli wnioskodawca uważa, że odmowa fundacji była bezprawna, lub jeśli fundacja nie odpowiedziała na wniosek w ustawowym terminie, przysługuje mu prawo do podjęcia dalszych kroków prawnych. Głównym narzędziem ochrony jest procedura skargowa przed organem nadzorczym.

1. Skarga do Prezesa Urzędu Ochrony Danych Osobowych (UODO)

Skarga do PUODO jest podstawowym, bezpłatnym instrumentem administracyjnym. Może być złożona w formie tradycyjnej (papierowej) na adres urzędu w Warszawie lub elektronicznie za pośrednictwem platformy ePUAP. Aby skarga była skuteczna i została rozpatrzona, musi spełniać wymogi formalne określone w Kodeksie postępowania administracyjnego. Powinna zawierać:

  • Imię, nazwisko oraz adres zamieszkania skarżącego;
  • Pełną nazwę i adres siedziby fundacji, przeciwko której kierowana jest skarga;
  • Dokładny opis naruszenia (np. odmowa usunięcia danych pomimo wycofania zgody, brak odpowiedzi na wniosek o dostęp do danych);
  • Wskazanie żądania (np. nakazanie fundacji usunięcia danych lub udostępnienia ich kopii);
  • Dowody potwierdzające opisywany stan faktyczny (np. kopia wysłanego wniosku wraz z potwierdzeniem odbioru, pisemna odmowa fundacji);
  • Podpis skarżącego (własnoręczny lub elektroniczny).

2. Wymogi formalne i przebieg postępowania przed UODO

Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych jest postępowaniem administracyjnym, które rządzi się swoimi prawami. Po wpłynięciu skargi, urząd dokonuje jej oceny formalnej. Jeśli skarga zawiera braki (np. brak podpisu lub niejasne określenie żądań), wnioskodawca zostanie wezwany do ich usunięcia w terminie 7 dni pod rygorem pozostawienia sprawy bez rozpoznania. Po przejściu etapu formalnego, PUODO wszczyna postępowanie wyjaśniające. W jego toku organ zwraca się do fundacji o złożenie pisemnych wyjaśnień i ustosunkowanie się do zarzutów skarżącego. Fundacja musi wówczas przedstawić dowody na to, że jej działanie (lub odmowa) było zgodne z prawem. Całe postępowanie kończy się wydaniem decyzji administracyjnej, która może nakazać fundacji określone zachowanie, np. usunięcie danych, sprostowanie lub udostępnienie kopii danych w określonym terminie.

3. Postępowanie przed sądem administracyjnym i droga cywilna

Jeżeli decyzja organu nadzorczego nie satysfakcjonuje skarżącego lub fundacji, każda ze stron ma prawo wnieść skargę do Wojewódzkiego Sądu Administracyjnego (WSA) w terminie 30 dni od dnia doręczenia decyzji. Niezależnie od postępowania administracyjnego przed PUODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową (krzywdę) w wyniku naruszenia przepisów RODO przez fundację, ma prawo wytoczyć powództwo cywilne przed sądem powszechnym. Na podstawie art. 82 RODO można domagać się odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych. Droga ta wymaga jednak wykazania przed sądem faktu zaistnienia szkody, bezprawności działania fundacji oraz związku przyczynowo-skutkowego między tymi elementami.

Praktyczny przykład: Spór o usunięcie danych darczyńcy

Aby lepiej zobrazować mechanizm odmowy i dalszych kroków, warto posłużyć się praktycznym przykładem. Pan Jan wspierał finansowo fundację zajmującą się ochroną zwierząt. Wpłaty realizowane były przelewem bankowym. Po pewnym czasie Pan Jan postanowił zakończyć współpracę i wysłał do fundacji wniosek o usunięcie wszystkich jego danych osobowych z baz organizacji, powołując się na prawo do bycia zapomnianym (art. 17 RODO).

Fundacja odpowiedziała na wniosek w terminie dwóch tygodni. W piśmie odmówiła usunięcia danych w zakresie historii wpłat darowizn, argumentując, że przepisy ustawy o rachunkowości oraz ordynacji podatkowej nakładają na nią obowiązek przechowywania dokumentacji finansowej przez okres 5 lat od końca roku podatkowego, w którym dokonano transakcji. Jednocześnie fundacja poinformowała Pana Jana, że jego dane zostały usunięte z bazy marketingowej (newslettera) oraz bazy kontaktowej, a także pouczyła go o prawie wniesienia skargi do PUODO.

W tym przypadku działanie fundacji było w pełni prawidłowe. Odmowa usunięcia danych finansowych miała twardą podstawę prawną (art. 17 ust. 3 lit. b RODO – wyłączenie prawa do usunięcia ze względu na obowiązek prawny). Gdyby jednak fundacja całkowicie zignorowała wniosek Pana Jana lub odmówiła usunięcia danych z bazy newsletterowej bez podania przyczyny, Pan Jan miałby pełne prawo do złożenia skutecznej skargi do Prezesa UODO, który nakazałby organizacji usunięcie niepotrzebnych danych marketingowych.

Najczęstsze błędy popełniane przy odmowach

Zarówno fundacje, jak i wnioskodawcy popełniają błędy, które utrudniają sprawne rozwiązanie sporów na tle RODO. Do najczęstszych uchybień po stronie fundacji należą: brak jakiejkolwiek odpowiedzi w terminie miesiąca, brak pisemnego uzasadnienia odmowy, brak pouczenia o prawie do skargi do PUODO oraz bezpodstawne powoływanie się na tajemnicę organizacji. Z kolei wnioskodawcy często formułują żądania w sposób nieprecyzyjny, żądają usunięcia danych, których przechowywanie jest wymagane przez inne ustawy, lub nie załączają dowodów potwierdzających ich tożsamość, co uniemożliwia fundacji bezpieczną realizację wniosku.

Podsumowanie

Odmowa realizacji praw wynikających z RODO przez fundację nie musi oznaczać złej woli organizacji, jednak zawsze wymaga wnikliwej analizy prawnej. Jeśli fundacja odmawia spełnienia żądania, musi to szczegółowo uzasadnić i pouczyć wnioskodawcę o ścieżce odwoławczej. W przypadku braku merytorycznych podstaw do odmowy lub milczenia administratora, najskuteczniejszym krokiem prawnym jest złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych. Dbanie o prawidłowy przepływ informacji i znajomość procedur pozwala na skuteczną ochronę prywatności przy jednoczesnym poszanowaniu legalnych obowiązków statutowych i podatkowych fundacji.