Cel i podstawy przetwarzania danych przez fundację rodzinną
Zgodnie z definicją zawartą w art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie znanego pod nazwą RODO1, administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Najprościej więc ujmując, jest to podmiot, który gromadzi i wykonuje na danych osobowych – należących do osób fizycznych – różnego rodzaju operacje, m.in.: zbiera, utrwala, porządkuje, przechowuje, wykorzystuje je oraz niszczy. Musi czynić to jednak zawsze w oparciu o podstawę prawną, w skonkretyzowanym, usankcjonowanym celu.
Czy w oparciu o powyższą definicję fundacja rodzinna jest administratorem? Absolutnie tak. Zgodnie z przepisami, fundacja rodzinna po wpisaniu do rejestru fundacji, zyskuje osobowość prawną, a tym samym staje się samoistnym bytem, mogącym nabywać prawa i obowiązki. Jednym z takich obowiązków jest administrowanie danymi zgromadzonymi w ramach swojej działalności. Tych danych jest – jak się okazuje – niemało.
Zobacz również: RODO – Dokumentacja, wdrożenie oraz pełna obsługa prawna
Sporządzenie listy beneficjentów
Głównym celem fundacji rodzinnej jest świadczenie na rzecz określonych przez fundatora beneficjentów. Aby móc zadośćuczynić temu zadaniu, fundacja musi być w stanie zidentyfikować osoby wskazane jako beneficjentów. Stanowi o tym wprost art. 32 Ustawy o fundacji rodzinnej. Wynika z niego bowiem obowiązek sporządzenia przez fundację listy beneficjentów. Lista ta powinna zawierać takie dane beneficjentów jak:
- imię i nazwisko albo nazwę beneficjenta;
- identyfikator podatkowy (numer PESEL albo NIP), a w przypadku beneficjenta będącego osobą fizyczną nieposiadającego żadnego z tych numerów:
- numer i serię paszportu lub innego dokumentu stwierdzającego tożsamość lub inny numer identyfikacyjny, wraz z podaniem kraju nadania takiego numeru,
- imiona rodziców;
adres zamieszkania lub adres do doręczeń beneficjenta;
inne dane niezbędne do spełnienia świadczenia na rzecz beneficjenta, w tym informacje o przysługujących mu uprawnieniach.
Warto zwrócić uwagę, że katalog danych, zawarty w art. 32 Ustawy, ustawodawca postanowił pozostawić otwarty. To oznacza, że pozostawił fundacjom pewnego rodzaju „luz decyzyjny” w zakresie zbierania tzw. innych danych, jeżeli wynika to z ich celów statutowych. W ust. 1 wskazał wprost, że fundacja może przetwarzać także inne dane niezbędne do spełnienia świadczenia na rzecz beneficjenta, w tym informacje o przysługujących mu uprawnieniach. Mowa tutaj o wszystkich przypadkach, w których świadczenie na rzecz określonego beneficjenta jest świadczeniem warunkowym i zależy od jakieś zewnętrznych czynników – na przykład od uzyskania przez niego dyplomu uczelni wyższej. Wówczas fundacja ma prawo przetwarzać także dane dotyczące np. wykształcenia danego beneficjenta.
Zobacz również: Fundacja rodzinna a dziedziczenie i prawo do zachowku
Ponadto, w ust. 3 przywołanego powyżej przepisu zawarto normę zgodnie z którą, za zgodą beneficjenta, fundacja rodzinna może przetwarzać także inne dane osobowe niż wymienione w ust. 1. Jeżeli zatem celem statutowym fundacji byłoby na przykład wsparcie beneficjentów w terapii lub leczeniu, fundacja – po uzyskaniu zgody beneficjenta – miałaby także prawo przetwarzać dane szczególne, o których mowa w art. 9 RODO. Wyjątkiem od powyższej reguły będzie jednak przypadek przetwarzania danych osobowych, o których mowa w art. 10 RODO (przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa) w związku z koniecznością zabezpieczenia praw i interesów beneficjenta lub obowiązkami wynikającymi ze statutu.
W tym miejscu należy jednak nadmienić o pewnego rodzaju sporze w doktrynie, dotyczącym podstawy prawnej przetwarzania danych beneficjentów fundacji. Zasadniczo bowiem, do gromadzenia i przechowywania danych, o których mowa w art. 32 ust. 1 Ustawy o fundacji, zobowiązuje fundację ustawodawca. Przetwarzając zatem ww. dane fundacja realizuje swój cel na podstawie art. 6 lit. c) RODO tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. W tym zakresie Ustawa i RODO idą w parze. Problem pojawia się jednak wówczas, gdy spojrzymy na ust. 2 z art. 32 Ustawy, w którym wskazano, że udostępnienie fundacji rodzinnej danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Beneficjent musi zatem wyrazić zgodę na przetwarzanie jego danych. Wówczas aktualizuje się podstawa prawna z art. 6 lit. a) RODO tj. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. W takim przypadku administrator ma zawsze obowiązek pozyskiwać zgody na przetwarzanie danych od osób, których dane dotyczą.
W praktyce zatem pojawia się wątpliwość, czy fundacja musi gromadzić zgody na przetwarzanie danych osobowych beneficjentów? Co do kwestii „innych danych” aniżeli wskazanych w katalogu z art. 32 ust. 4 Ustawy o fundacji rodzinnej, nie ma wątpliwości, że tak. W zakresie danych wskazanych wprost w ust. 1 faktycznie może pojawić się wątpliwość. Z ostrożności procesowej zaleca się jednak, aby taką praktykę wdrożyć. Tym bardziej, że fundacja jako podmiot profesjonalny powinna zachowywać należytą staranność w swoich działaniach. Ponadto, wskazuje się na kwestie dochowania zasady rozliczalności – podmiot powinien być w stanie wykazać, że uczynił zadość wszystkim swoim obowiązkom wynikającym z przepisów dotyczących ochrony danych osobowych.
Funkcjonowanie organów
Fundacja, oprócz administrowania danymi swoich beneficjentów, jest również administratorem danych osobowych członków swoich organów. Zgodnie z przepisami Ustawy o fundacji rodzinnej, w jej ramach organizacyjnych powinien funkcjonować zarząd, a także rada nadzorcza (obligatoryjna jeśli liczba beneficjentów przekracza dwadzieścia pięć osób). Ponadto, organem charakterystycznym fundacji rodzinnej jest także zgromadzenie beneficjentów złożone z beneficjentów, którym w statucie przyznano uprawnienie do uczestnictwa w nim. Jako że ww. wymóg wynika wprost z ustawy, podstawą przetwarzania danych osobowych osób wchodzących w skład organów będzie także art. 6 lit. c) RODO tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Wśród danych pozyskiwanych od członków organów fundacja gromadzi dane niezbędne do wykonywania określonych uprawnień bądź obowiązków związanych z działalnością fundacji. W szczególności będą to imię i nazwisko, adres zamieszkania oraz numer PESEL, a nadto adresy e-mail i numery telefonów.
Zobacz również: Fundacja rodzinna dla kogo?
Zatrudnianie pracowników
Warto także wspomnieć, że fundacja rodzinna może prowadzić działalność gospodarczą, a tym samym może być pracodawcą. W takich okolicznościach, fundacja stanie się administratorem danych przetwarzanych na potrzeby prowadzonych rekrutacji oraz zatrudnienia. Wśród danych tych wskazać należy: dane personalne pracownika, adres zameldowania lub zamieszkania, dane dotyczące jego wcześniejszego zatrudnienia i posiadanego wykształcenia, a także dane gromadzone na potrzeby obowiązkowych ubezpieczeń społecznych i zdrowotnego.
Odbiorcy danych przetwarzanych przez fundację rodzinną
Zgodnie z art. 32 ust. 5 Ustawy o fundacji, fundacja rodzinna prowadzi i przechowuje dokumenty dotyczące przetwarzanych danych osobowych swoich beneficjentów, w postaci papierowej lub elektronicznej, w sposób gwarantujący zachowanie ich poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących utratą, uszkodzeniem lub zniszczeniem. Co do zasady więc powinna dbać o prywatność swoich beneficjentów. Należy jednak pamiętać, że na fundacji ciążą różne obowiązki notyfikacyjne wynikające tak z Ustawy o fundacji jak i innych ustaw. Oznacza to, że pod pewnymi warunkami i w oparciu o przepisy prawa, fundacja jest zobowiązana przekazywać dane beneficjentów innym odbiorcom.
Pierwszym przykładem obowiązku informacyjnego jest art. 84 Ustawy o fundacji rodzinnej. Stanowi on, iż na żądanie organu Krajowej Administracji Skarbowej fundacja rodzinna przekazuje w terminie wyznaczonym przez organ Krajowej Administracji Skarbowej, nie krótszym niż 14 dni od dnia doręczenia żądania, dane zawarte na liście beneficjentów, spis mienia oraz informacje o świadczeniach lub mieniu przekazanym w związku z rozwiązaniem fundacji rodzinnej, w tym ich rodzaju, wysokości świadczeń lub wartości mienia, terminie i sposobie spełnienia świadczeń lub przekazaniu mienia.
Ponadto, zgodnie z przepisami Ustawy o AML, fundacja rodzinna traktowana jest jako trust. Tym samym jej obowiązkiem jest zidentyfikowanie beneficjentów rzeczywistych (jest to inne pojęcie aniżeli beneficjenci fundacji rodzinnej) oraz przekazanie ich danych do Centralnego Rejestru Beneficjentów Rzeczywistych. Taki stan rzecz – a więc obowiązek który przeczy prawu beneficjentów do prywatności – wynika z luki w przepisach i jest przedmiotem dyskursu doktryny. Więcej na ten temat mogą Państwo przeczytać w artykule Obowiązki wynikające z Ustawy AML dla fundacji rodzinnych.
Dane osobowe członków organów podlegają przede wszystkim ujawnieniu w Rejestrze fundacji rodzinnych, prowadzonego przez Sąd Okręgowy w Piotrkowie Trybunalskim. Rejestr ten jest rejestrem co do zasady jawnym, jednak dostęp do niego jest możliwy po dowiedzeniu istnienia interesu prawnego.
Dane pracowników są udostępnianie standardowo instytucjom związanym z realizacją stosunku zatrudnienia m.in. Zakładowi Ubezpieczeń Społecznych, Urzędowi Skarbowemu, biurom rachunkowym (jeśli księgowość fundacji jest prowadzona przez podmiot zewnętrzny), instytucji finansowej prowadzącej pracownicze plany kapitałowe, czy też firmom które świadczą na rzecz fundacji określone benefity pracownicze. Należy jednak wówczas pamiętać o zasadzie minimalizacji i nie przekazywania odbiorcom, danych w ilości wykraczającej ponad to, co jest im niezbędne do określonych świadczeń.
Retencja danych osobowych
Dane osobowe zgromadzone na potrzeby prowadzenia działalności fundacji powinny być przez nią przechowywane przez okres jej funkcjonowania. W zakresie danych beneficjentów fundacji, Ustawa o fundacji rodzinnej wprost w art. 54 wskazuje, iż Zarząd dokonuje przeglądu danych osobowych, o których mowa w art. 32 ust. 1 i 4, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia, czy jest niezbędne ich dalsze przechowywanie. Zarząd niezwłocznie usuwa dane osobowe, których dalsze przechowywanie jest zbędne do zabezpieczenia praw lub interesów beneficjenta lub wykonywania obowiązków wynikających ze statutu. W przypadku, w którym fundacja ulegnie likwidacji, księgi i inne dokumenty trafią pod skrzydła osoby, która została do tego wybrana w ramach zapisów statutowych lub uchwałą zgromadzenia beneficjentów.
W stosunku do zatrudnionych przez siebie osób, fundacja ma prawo przechowywać dane na podstawie Kodeksu pracy oraz Ustawy o systemie ubezpieczeń społecznych przez okres 10 lat od ustania okresu zatrudnienia. W przypadku danych pozyskanych w toku prowadzonej rekrutacji, pracodawca co do zasady powinien usunąć dane kandydatów po upływie 3 miesięcy od wyrażenia zgody przez kandydata na przetwarzanie jego danych osobowych.
Obowiązki fundacji rodzinnej jako administratora danych
Jakie obowiązki – wobec statusu administratora – musi zatem realizować fundacja? Przede wszystkim musi zapewnić, że przetwarzanie przez nią danych czyni zadość zasadom wskazanym w art. 5 RODO:
-
zasadzie adekwatności – a więc fundacja powinna gromadzić tylko dane niezbędne do osiągnięcia określonego celu;
-
zasadzie legalności – dane można gromadzić na podstawie przepisów prawa i przetwarzać je w zgodzie z nimi,
-
zasadzie minimalizacji – katalog danych powinien ograniczać się tylko do danych absolutnie niezbędnych administratorowi;
-
zasadzie prawidłowości – administrator powinien dbać, aby przetwarzane przez niego dane odzwierciedlały stan faktyczny, były aktualne, oraz nie zawierały błędów,
-
zasadzie integralności i poufności – administrator musi zabezpieczyć dane w sposób gwarantujący ich bezpieczne przechowywanie i tajność,
-
zasadzie rozliczalności – rolą administratora jest dokumentowanie wszelkich procesów, tak aby na żądanie osoby której dane dotyczą lub odpowiedniego organu był w stanie wykazać, że dochował należytej staranności w zakresie swoich obowiązków i ochrony danych.
Ponadto, obowiązkiem administratora jest, zgodnie z art. 13 i 14 RODO, przekazanie osobom, których dane przetwarzają, klauzul informacyjnych. W szczególności administrator wskazuje w nich następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Administrator winien także wdrożyć odpowiednie procedury i środki bezpieczeństwa dotyczące ochrony przetwarzanych danych osobowych.
Podsumowanie
Zakładając i zarządzając fundacją rodzinną należy mieć na uwadze także obowiązki wynikające z innych przepisów, aniżeli Ustawy o fundacji, m.in. z rozporządzenia RODO. Obowiązkiem fundacji rodzinnej, obok realizacji jej statutowych i ustawowych celów, jest także dbałość o prywatność beneficjentów oraz ochrona ich danych zgromadzonych na potrzeby działalności fundacji.
Pytania i odpowiedzi
W przypadku fundacji rodzinnych wyznaczenie IOD będzie co do zasady fakultatywne, gdyż w większości przypadków nie zaktualizują się okoliczności warunkujące konieczność wyznaczenia IOD wskazane w RODO. Więcej na ten temat mogą Państwo przeczytać w artykule Wyznaczenie inspektora ochrony danych w praktyce.
Nie, jeśli nie są oni członkami zgromadzenia beneficjentów.
Tak, fundacja ma prawo zweryfikować oświadczenie w zakresie danych osobowych poprzez żądanie udokumentowania danych w zakresie niezbędnym do ich potwierdzenia.
Zaufali nam: