Sunteți pe pagina 1din 4

6/8/2021

Persoanele vizate in cazul asociatiilor si fundatiilor,


din prisma GDPR

 08 Oct 2019 Raspuns oferit de Colectivul de Specialisti Rentrop&Straton

Potrivit art. 4 punctul 7 din Regulamentul European nr. 679/2016 (in engleza General Data Protection
Regulation sau, pe scurt, GDPR), in categoria operatorilor de date cu caracter personal se inscriu nu
doar companiile si autoritatile publice,ci si orice organism care, singur sau impreuna cu
altele,stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Similar, in cea a persoanelor imputernicite de operator, pot fi incadrate toate persoanele fizice sau
juridice, autoritati publice, agentii sau alte organisme care prelucreaza datele cu caracter personal in
numele operatorului.
Asadar, raportat la ultima parte a ambelor definitii, putem constata ca legiuitorul european a stabilit o
plansa extrem de larga a entitatilor ce pot indeplini calitatea de operator de date cu caracter
personal, respectiv de persoana imputernicita a acestuia, elementul esential neconstituindu-l forma
de organizarea a activitatii respectivei entitati, ci implicarea sa in procedura de prelucrare a datelor cu
caracter personal.

In acestcontext,consideram ca si asociatiile, si fundatiile (denumite in continuare, generic, ONG-uri)


pot fi incadrate in categoria operatorilor de date (fie ei independenti, fie asociati), dar si in cea a
persoanelor imputernicite de operatori, fiind tinute de respectarea normelor impuse de GDPR.
In acest sens, atragem atentia asupra a cinci segmente principale de persoane vizate,ce trebuie avute
in vedere de ONG-uri, intrucat activitatea efectuata implica prelucrarea datelor personale ale
acestora:

1. Membri ONG-ului

La constituirea ONG-uluisi la modificarea structurii membrilor sai este necesara prelucrarea datelor
acestora cu caracter personal. Mai mult, atunci cand ONG-ul organizeaza diverse evenimente cum
sunt cele pentru strangerea de fonduri, anumiti membri vor da interviuri, declaratii, lise va publica
poza pe diverse site-urisi in diferite ziare etc.

Drept urmare, vorbim mai mult decat despre prelucrarea de date in scopul indeplinirii unei obligatii
legale a operatorului si, deci, un alt temei al prelucrarii dintre cele indicate de art. 6 alin. (1) din GDPR
ar trebui avut in vedere (spre exemplu,cel alconsimtamantului persoanei vizate cu avantajele si
dezavantajele deja cunoscute, cel al necesitatii prelucrarii datelor pentru realizarea intereselor

1/4
6/8/2021

legitime urmarite de operator sau de un tert, fara insa ca acestea sa prevaleze in raport cu interesele
sau drepturile si libertatile fundamentale ale persoanei vizate).

Prin urmare, recomandam indicarea in statutul ONG-ului sau intr-un alt act semnat de membri a
tuturor informatiilor necesare membrilor in calitate de persoane vizate, precum si obtinerea
consimtamantului lor daca se decide prelucrarea de date in baza acestui temei. Fireste ca si celelalte
masuri de securitate a datelor trebuie implementate, astfel incat cerintele GDPR sa fie respectate.

2. Donatorii

Exista situatii in care ONG-urile incaseaza donatiile prin contul bancar sau primesc datele donatorilor
prin declaratia 200 depusa in numele lor. Mai mult, exista ONG-uricare au implementat un sistem de
oferire a unorcadouri donatorilorce trec de un anumit prag al donatiilor oferite sau care transmit
rapoarte cu realizarile avute intro anume perioada sau intr-un anume proiect. In masura in care
rapoartele transmise sau alte informari, in functie de continutul avut, ar putea fi calificate drept
comunicari in scop de marketing, consimtamantul expres si particular al persoanei vizate ar trebui
obtinut in prealabil.

Asadar, date cum sunt numele si prenumele donatorilor, datele bancare, adresa de e-mail sau
numerele de telefon sunt adesea solicitate de ONG-urisi temeiurile prelucrarii reglementate de art. 6
din GDPR, dar si scopul prelucrarii datelor (cele de mai sus reprezentand doar exemple), trebuie avute
in vedere.

Informarea conforma a donatorilor anterior prelucrarii reprezinta o conditie importanta,ce poate fi


realizata prin diverse mijloace, cum e afisarea pe site-ul ONG-ului sau la locul strangerii donatiilor si a
completarii fiselor de donator, cu posibilitatea donarii doar dupa studierea notei respective si
confirmarea prin semnatura a acestui demers.

3. Persoanele care beneficiaza de ajutor din partea ONG-ului

Atunci cand in campaniile organizate, ONG-ul dezvaluie date personale ale viitorilor beneficiari (cum
sunt numele, varsta, imaginea, vocea, afectiunea avuta), trebuie respectate normele impuse de GDPR
astfel incat sa se asigure prelucrarea conforma a datelor.
Asadar, chestiuni cum sunt informarea prealabila a beneficiarilor cu privire la modul in care ii vor fi
prelucrate datele si obtinerea consimtamantului lor sau al titularului autoritatii parintesti, dupa caz,
sunt demersuri ce trebuie indeplinite.

Evident, este necesara si respectarea principiilor fundamentale reglementate de Regulamentul


european (spre exemplu, cel al minimizarii datelor), dar si luarea masurilor tehnice si organizationale
adecvate pentru asigurarea protectiei datelor prelucrate, cu atat mai mult cu cat pot fi implicate
categorii speciale de date cu caracter personal.

Cu privire la datele speciale, dorim sa mentionam ca interdictia de prelucrare a lor prevazuta de alin.
(1) al art. 9 din GDPR nu se aplica in situatiile enumerate la alin. (2).

2/4
6/8/2021

Dintre acestea, pentru cazul ONG-urilor, consideram a fi cele mai importate exceptiile care vizeaza
situatiile in care:
persoana vizata si-a dat consimtamantul explicit;
prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei
alte persoane fizice, atunci cand persoana vizata se afla in incapacitate de a-si da
consimtamantul;
prelucrarea este efectuata in cadrul activitatilor lor legitime sicu garantii adecvate de catre un
ONG cu specific politic, filozofic, religios sau sindical, cu conditia ca prelucrarea sa se refere
numai la membrii sau la fostii membri ori la persoane cu care are contacte permanente si ca
datele cu caracter personalsa nu fie comunicate tertilor fara consimtamantul persoanelor
vizate;
prelucrarea se refera la date cu caracter personalcare sunt facute publice in mod manifest de
catre persoana vizata;
prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta;
prelucrarea este necesara din motive de interes public major;
prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de stabilirea
unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament
medical.
4. Angajatii

Desi este adevaratca nu toate ONG-urile au angajati, preferand din considerente de costsa isi
desfasoare activitatea sprijininduse doar pe membrii lor si eventual pe voluntari, exista si situatii in
care pentru anumite chestiunisuntcontractate persoane in baza unui contract individual de munca.
De regula, vizata este partea de contabilitate si IT, insa nimic nu impiedica ONG-urile sa incheie
contracte de munca si pentru alte arii de practica.

In acest cadru, precizam ca trebuie avuta in vedere necesitatea respectarii GDPR si fata de persoanele
care au incheiat alt tip de contracte cu ONG-urile, cum sunt contractele de colaborare semnate cu
PFA-uri sau contractele de management pentru segmentul de conducere.
Asadar, trebuie avute in vedere masuri precum:
stabilirea obligatiei de confidentialitate a angajatilor,
amendarea regulamentului intern,
intocmirea de politici interne corespunzatoare
desemnarea unuia dintre angajati in calitate de responsabil cu protectia datelor sau de
persoana de contact a persoanelor vizate si a autoritatii competente in domeniul protectiei
datelor cu caracter personal, cu completarea fisei postului.

5. Prestatorii de servicii sau furnizorii de bunuri

Fara a exista o deosebire in raport cu situatia generala a societatilor comerciale, ONG-urile pot
prelucra datele reprezentantilor si ale persoanelor de contact ale prestatorilor de servicii sau
furnizorilor de bunuri cu care a incheiat contracte pentru derularea activitatii sale.

3/4
6/8/2021

Trebuie insa sa precizam ca si acesti prestatorisau furnizori vor prelucra date ale reprezentantilor
ONG-ului si, posibil, chiar ale donatorilor si beneficiarilor donatilor.

Asadar, recomandam semnarea unui contract sau a unui act aditional la contractele deja incheiate,
prin care si prestatorii sau furnizorii respectivi sa isi asume in mod expres respectarea si
implementarea GDPR, inclusiv obligatia de confidentialitate a datelor la care au acces.

In ceea ce priveste cazul particular al bisericilor si asociatiilor religioase, art. 91 din Regulamentul
european prevede faptul ca si normele acestora de protectie a persoanelor fizice cu privire la
prelucrarea de date personale trebuie aliniate la GDPR. Diferenta insa o reprezinta faptulca acest tip
de entitati pot fisupuse supravegherii unei autoritati de supraveghere independente,care poate fi una
specifica, cu conditia sa indeplineasca conditiile stabilite in capitolul VI din GDPR.

Cu toate acestea, pana la momentul de fata, din informatiile noastre, singura autoritate constituita in
Romania, ce are competente in domeniul protectiei datelor cu caracter personal, este Autoritatea
Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

4/4