RODO w zbiórkach publicznych – punkt wyjścia dla organizatora
Czym jest zbiórka publiczna i czym różni się od innych form pozyskiwania darowizn
Z prawnego punktu widzenia zbiórka publiczna to zbieranie ofiar w gotówce lub w naturze w przestrzeni publicznej, na cel określony w ustawie o zasadach prowadzenia zbiórek publicznych. Chodzi o sytuacje, gdy wolontariusze stoją z puszkami, kwestują na ulicy, w kościele, w centrum handlowym czy na koncercie. Zbiórka publiczna wymaga zwykle zgłoszenia w portalu zbiórek publicznych prowadzonym przez Ministerstwo Spraw Wewnętrznych i Administracji.
Obok klasycznych kwest do puszek funkcjonuje całe spektrum innych form pozyskiwania środków, które z prawnego punktu widzenia nie zawsze są „zbiórką publiczną”, ale z perspektywy RODO mają podobne konsekwencje:
darowizny przelewem na konto bankowe (np. „darowizna na cele statutowe”),
kampanie crowdfundingowe na portalach fundraisingowych,
sprzedaż cegiełek, gadżetów charytatywnych, biletów na koncert charytatywny,
programy „stały darczyńca” (np. comiesięczne zlecenia stałe),
zbiórki prowadzone w mediach społecznościowych.
Z perspektywy RODO mniej istotne jest, czy dana akcja spełnia definicję „zbiórki publicznej” z ustawy, a bardziej – czy i jakie dane osobowe darczyńców są gromadzone, zapisywane i dalej wykorzystywane. W niektórych zbiórkach gotówkowych dane w ogóle się nie pojawiają, w innych – katalog danych bywa bardzo szeroki.
Kiedy RODO ma zastosowanie przy zbiórkach
RODO stosuje się wtedy, gdy dochodzi do przetwarzania danych osobowych. Dla organizatora zbiórki praktyczne znaczenie mają trzy definicje:
dane osobowe – każda informacja o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (nie tylko imię i nazwisko, ale także e‑mail, numer konta, numer telefonu, charakterystyczny tytuł przelewu, kombinacja kilku informacji),
przetwarzanie – praktycznie wszystko, co robisz z danymi: zbieranie, utrwalanie, przechowywanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie,
administrator danych – podmiot, który decyduje o celach i sposobach przetwarzania danych (w kontekście zbiórki: organizator, niekiedy wspólnie z partnerami).
RODO „włącza się” więc nie w momencie zgłoszenia zbiórki w portalu MSWiA, lecz wtedy, gdy organizator:
ma możliwość powiązania darowizny z konkretną osobą (np. przez przelew bankowy, formularz online),
utrwala dane w jakiejkolwiek formie (arkusz Excel z listą darczyńców, system CRM, papierowe deklaracje wsparcia),
analizuje dane (np. częstotliwość darowizn, kwoty, reakcje na kampanie),
kontaktuje się z darczyńcą, wykorzystując jego e‑mail lub numer telefonu.
Jeżeli z kolei akcja polega wyłącznie na wrzucaniu anonimowych banknotów do puszki i niczego o darczyńcach się nie zapisuje – RODO do tych konkretnych czynności nie ma zastosowania, choć może dotyczyć innych danych związanych ze zbiórką (np. danych wolontariuszy).
Kto jest administratorem danych przy zbiórce
W klasycznym modelu administratorem danych darczyńców jest podmiot, który organizuje zbiórkę i decyduje, po co i jak dane będą wykorzystywane. Najczęściej:
fundacja lub stowarzyszenie (w tym OPP),
komitet społeczny powołany do przeprowadzenia zbiórki,
parafia lub inna osoba prawna Kościoła,
jednostka samorządu terytorialnego, jeśli to ona prowadzi zbiórkę.
Jeżeli zbiórka jest realizowana za pośrednictwem zewnętrznego portalu fundraisingowego albo operatora płatności, zwykle mamy do czynienia z różnymi administratorami danych, którzy przetwarzają dane w swoich celach (np. portal – w celu obsługi konta użytkownika, organizacja – w celu obsługi darowizny i relacji z darczyńcą). Niekiedy portal występuje jako podmiot przetwarzający (procesor) działający na podstawie umowy powierzenia.
Dla przejrzystości wobec darczyńcy kluczowe jest, aby w klauzuli informacyjnej jasno wskazać, kto jest administratorem danych w związku z konkretną zbiórką i czy występują inni administratorzy (np. bank, operator płatności, portal). W praktyce darczyńca często widzi kilka klauzul – każda dotyczy innego podmiotu i innego zakresu danych.
Mała zbiórka a RODO – popularny mit
Częsty pogląd wśród organizatorów brzmi: „Robimy małą, lokalną zbiórkę, RODO nas nie dotyczy”. Rzeczywistość jest inna: RODO nie wprowadza progów wielkości. Nie ma znaczenia, czy zbierasz 5 tysięcy złotych na rehabilitację sąsiada, czy miliony na duży ogólnopolski cel. Jeżeli zbierasz, zapisujesz i wykorzystujesz dane osób fizycznych, wchodzisz w obszar ochrony danych osobowych.
Różnica polega na skali i formalizacji. Mała organizacja nie musi wdrażać rozbudowanych systemów klasy korporacyjnej, ale nie zwalnia jej to z podstawowych obowiązków: jasnej klauzuli informacyjnej, właściwej podstawy prawnej, ograniczenia dostępu do danych, sensownego okresu przechowywania. Brak świadomości to główne źródło błędów, a nie wielkość zbiórki.
Mit „mała skala = brak RODO” jest szczególnie groźny przy zbiórkach imiennych, gdy opis sprawy w oczywisty sposób dotyczy zdrowia lub trudnej sytuacji życiowej określonej osoby. Wtedy ochrona danych dotyczy nie tylko samych darczyńców, ale również beneficjenta zbiórki, którego dane często mają charakter danych szczególnej kategorii.
Źródło: Pexels | Autor: Markus Winkler
Kiedy przy zbiórce przetwarzasz dane darczyńców, a kiedy nie
Sytuacje, w których dane darczyńców w ogóle nie powstają
Nie każda zbiórka publiczna wiąże się z przetwarzaniem danych darczyńców. Klasyczny przykład to zbiórka gotówki do puszek na ulicy, gdy:
wolontariusz nie prosi o żadne dane,
nie prowadzi listy darczyńców,
nie ma możliwości powiązania konkretnej wpłaty z osobą wrzucającą pieniądze.
Podobnie wygląda to przy sprzedaży cegiełek w formie tradycyjnych druków, jeśli nie są w żaden sposób imienne, nie wpisuje się danych nabywcy, a organizator nie tworzy listy osób, które cegiełki kupiły. Dane pojawiają się dopiero wtedy, gdy cegiełka jest przypisana do osoby (np. imienna cegiełka „fundatora” w parafii czy szkole).
W takich przypadkach organizator oczywiście przetwarza inne dane związane ze zbiórką (np. dane wolontariuszy, członków zarządu), ale danych darczyńców w ogóle nie ma. RODO nie stosuje się więc do czynności związanych z samym aktem wrzucenia pieniędzy do puszki czy zakupem anonimowej cegiełki.
Płatności elektroniczne i darowizny na konto
W momencie, gdy do gry wchodzą płatności elektroniczne, dane darczyńcy pojawiają się niemal automatycznie. Nawet jeśli organizator nigdy nie poprosi o imię i nazwisko, to:
przelew bankowy zawiera imię i nazwisko lub nazwę nadawcy, numer rachunku, tytuł przelewu, datę i kwotę,
płatność online przez operatora (np. Przelewy24, PayU, PayPal) generuje dane klienta: e‑mail, nierzadko numer telefonu, czasem adres,
serwisy zbiórkowe zbierają dane użytkowników zakładających konto lub „profil darczyńcy”.
W praktyce oznacza to, że każda darowizna przelewem bankowym lub przez operatora płatności oznacza przetwarzanie danych osobowych darczyńcy. Nawet jeśli organizacja nie ma wpływu na to, jakie dokładnie dane przekaże bank czy operator, jest administratorem tych danych w zakresie, w jakim je faktycznie wykorzystuje (np. do rozliczeń, księgowości, kontaktu z darczyńcą).
Ważny niuans: sam fakt, że dane bankowe „widnieją” na wyciągu, oznacza już ich przetwarzanie (utrwalanie i przechowywanie). Nie ma znaczenia, czy ktoś w organizacji „aktywnie” je analizuje. Jeśli wyciąg jest pobierany, archiwizowany i dostępny dla księgowości – RODO ma zastosowanie.
Zbieranie danych „przy okazji” zbiórki
Podczas zbiórki wielu organizatorów korzysta z okazji i zbiera szersze dane o darczyńcach, np. żeby utrzymać z nimi kontakt lub zaprosić ich do programu stałych darczyńców. Typowe przykłady:
listy mailingowe krążące podczas koncertu charytatywnego („zostaw maila, wyślemy relację z akcji”),
formularze zgody na stałe wsparcie (np. comiesięczne przelewy),
formularze online, w których oprócz danych do płatności zbiera się zgody marketingowe,
zapisy telefoniczne lub papierowe na newsletter.
W tych sytuacjach organizator nie tylko przetwarza dane związane z samą transakcją finansową, lecz także tworzy bazę kontaktów. Taki cel przetwarzania wymaga osobnego opisania w klauzuli informacyjnej i – w przypadku marketingu elektronicznego – często także osobnej zgody (np. na newsletter fundraisingowy).
Mit spotykany w praktyce: „Skoro ktoś dał nam pieniądze, to na pewno zgadza się na otrzymywanie maili”. Rzeczywistość jest taka, że darowizna nie oznacza automatycznej zgody na komunikację marketingową. Uzasadniony interes może uzasadniać pojedynczy kontakt związany z podziękowaniem lub rozliczeniem kampanii, ale regularne wysyłanie newslettera czy telefoniczne prośby o kolejne wpłaty wymagają odrębnej podstawy.
Monitoring w miejscach prowadzenia zbiórek
Coraz częściej zbiórki prowadzone są w miejscach objętych monitoringiem wizyjnym – galeriach handlowych, urzędach, placówkach edukacyjnych, kościołach. Kamery nagrywają zarówno wolontariuszy, jak i darczyńców. Powstaje pytanie, czy organizator zbiórki jest odpowiedzialny za przetwarzanie tych nagrań.
Co do zasady operatorem monitoringu jest właściciel lub zarządca obiektu (np. centrum handlowego, parafii, urzędu), który pełni rolę administratora danych z monitoringu. Organizator zbiórki nie ma wpływu na system kamer i zwykle nie ma dostępu do nagrań. W takiej sytuacji nie jest administratorem tych danych.
Wyjątek pojawia się, gdy organizator sam instaluje kamery (np. w biurze, gdzie przyjmowane są darowizny gotówkowe) i przetwarza nagrania. Wtedy ma pełne obowiązki administratora: podstawę prawną, klauzulę informacyjną, ograniczony czas przechowywania, zasady udostępniania. Monitoring jest oddzielnym zbiorem danych, ale może obejmować także darczyńców.
Prosty test: czy to, co robisz przy zbiórce, podlega RODO
Żeby szybko ocenić, czy konkretne działanie w ramach zbiórki podlega RODO, można zastosować prosty test w formie trzech pytań:
Czy mam (lub mogę mieć) informację o konkretnej osobie fizycznej, którą mogę zidentyfikować (nawet pośrednio, np. przez numer rachunku, e‑mail)?
Czy ta informacja jest gdzieś utrwalona (na papierze, w systemie, na wyciągu bankowym, w skrzynce e‑mail, w systemie operatora płatności)?
Czy w jakikolwiek sposób wykorzystuję tę informację (do rozliczeń, do analizy, do kontaktu, do raportowania)?
Jeśli na wszystkie pytania pada odpowiedź „tak” – przetwarzasz dane osobowe i musisz zadbać o zgodność z RODO. Jeżeli odpowiedź na pierwsze pytanie jest „nie” (np. wyłącznie anonimowe datki do puszki bez jakiegokolwiek utrwalenia danych darczyńców), RODO w tym fragmencie Twojej działalności nie ma zastosowania.
Jakie dane darczyńców najczęściej pojawiają się przy zbiórkach
Podstawowy katalog danych przy darowiznach
Przy większości zbiórek powtarza się podobny zestaw danych identyfikacyjnych i finansowych:
imię i nazwisko darczyńcy,
adres e‑mail (szczególnie przy płatnościach online),
numer telefonu (np. przy darowiznach SMS lub zleceniu stałym),
numer rachunku bankowego nadawcy,
kwota darowizny i data,
częstotliwość wpłat (jednorazowa, cykliczna),
tytuł przelewu,
informacja o wybranym kanale płatności (przelew, BLIK, karta, SMS).
Dane wrażliwe i informacje pośrednio ujawniające sytuację darczyńcy
Przy typowych wpłatach na konto lub przez operatora płatności dane darczyńców mają zwykle charakter „zwykłych” danych osobowych. Problem zaczyna się tam, gdzie tytuł przelewu, treść wiadomości do organizacji lub opis zbiórki pozwalają wywnioskować coś więcej o samym darczyńcy.
Przykładowo, darczyńca wpisuje w tytule przelewu: „Darowizna od uczestnika terapii uzależnień”, „Dziękuję za wsparcie na oddziale onkologii”, „Wspieram jako osoba niewidoma”. Dane o zdrowiu, uzależnieniach, niepełnosprawności to już szczególne kategorie danych. Nawet jeśli organizacja nie prosiła o takie informacje, a zostały one przekazane „z własnej inicjatywy” darczyńcy, po ich utrwaleniu pojawia się obowiązek odpowiedniego zabezpieczenia i ograniczenia dostępu.
Mit bywa taki, że „jak ktoś sam napisał o swoim zdrowiu w przelewie, to mogę to swobodnie wykorzystywać w raportach czy materiałach promocyjnych”. Rzeczywistość jest mniej wygodna: to, że dana trafiła do organizacji przypadkiem, nie znosi obowiązków z RODO. Nie trzeba od razu kasować każdego przelewu z „wrażliwym” tytułem, ale nie wolno tej informacji dalej przetwarzać ponad to, co konieczne do księgowania darowizny.
Osobny temat to zrzutki imienne na konkretne osoby chore lub w trudnej sytuacji. Dane szczególnej kategorii dotyczą z reguły beneficjenta, ale darczyńca również może „zadozować” wrażliwe informacje o sobie (np. w komentarzu przy wpłacie online). Administrator powinien mieć procedurę reagowania na takie treści: kto je widzi, czy są publikowane (np. na liście wpłacających), jak długo są przechowywane.
Dane podatkowe, potwierdzenia darowizn i ulgi
Przy zbiórkach powtarza się wątek zaświadczeń o darowiźnie na potrzeby ulgi podatkowej. Wtedy organizacja zwykle prosi darczyńcę o dodatkowe dane:
adres zamieszkania lub korespondencyjny,
PESEL lub NIP (gdy darczyńcą jest osoba prowadząca działalność),
czasem także formę prawną darczyńcy (osoba fizyczna, JDG).
Te dane są potrzebne księgowości, ale niekoniecznie działowi fundraisingu. Wewnętrzna praktyka „na wszelki wypadek wszystko kopiujemy do bazy mailingowej” jest prostą drogą do naruszenia zasady minimalizacji danych. Rozsądnym rozwiązaniem bywa rozdzielenie systemów: inne narzędzie do rozliczeń podatkowo‑księgowych, inne do komunikacji z darczyńcami. Połączenie ich może się odbywać tylko tam, gdzie faktycznie występuje uzasadniona potrzeba.
Mit: „skoro fiskus wymaga od nas dokładnych danych darczyńców, to możemy je później swobodnie wykorzystać w kampaniach”. Fiskus reguluje obowiązki podatkowe, a nie marketingowe. Podstawa do wystawienia zaświadczenia nie rozciąga się automatycznie na wysyłkę newslettera czy telefoniczne prośby o kolejne wpłaty.
Dane z mediów społecznościowych i platform zbiórkowych
Organizacje coraz częściej zbierają środki przez Facebook Donate, zrzutki internetowe, platformy crowdfundingowe. Darczyńcy widnieją tam pod imieniem i nazwiskiem lub pseudonimem, zostawiają komentarze, czasem wiadomości prywatne. Pojawia się pytanie, które z tych danych „należą” do organizatora jako administratora.
Co do zasady:
operatorem serwisu (np. portalu zrzutkowego) jest osobny administrator danych,
organizacja, która założyła zbiórkę, jest administratorem w zakresie danych, które faktycznie pobiera i wykorzystuje (np. eksport listy darczyńców do własnego CRM, odpowiadanie na wiadomości, kontakt poza platformą).
Jeśli organizator jedynie widzi listę wpłacających w panelu platformy, a nie ściąga tych danych do siebie ani nie używa ich poza serwisem, jego rola jako administratora jest ograniczona. W momencie eksportu lub ręcznego przepisywania danych do własnych systemów – zaczyna się zwykłe przetwarzanie w rozumieniu RODO, z pełnym pakietem obowiązków.
Media społecznościowe to jeszcze inny poziom złożoności. Komentarz darczyńcy pod postem zbiórkowym, w którym ujawnia szczegóły o swojej sytuacji zdrowotnej, formalnie jest przetwarzany zarówno przez platformę (np. Meta), jak i – w pewnym zakresie – przez profil organizacji. Administrator powinien mieć zasady moderacji, szczególnie gdy pod postami gromadzą się treści zawierające dane wrażliwe lub dane osób trzecich. Czasem najbezpieczniejsze jest szybkie ukrycie komentarza i przeniesienie rozmowy do kanału prywatnego, bez pozostawiania śladu w publicznej przestrzeni.
Źródło: Pexels | Autor: Miguel Á. Padriñán
Podstawa prawna przetwarzania danych darczyńców przy zbiórkach
Realizacja darowizny i obowiązki księgowe – gdy zgodą nie trzeba się martwić
Przy samym przyjęciu i rozliczeniu darowizny najczęściej wystarczy art. 6 ust. 1 lit. b oraz lit. c RODO – wykonanie umowy darowizny i wypełnienie obowiązków prawnych ciążących na administratorze (np. podatkowych, księgowych). Nie ma potrzeby „podkładania” pod każdą wpłatę zgody na przetwarzanie danych. Sam fakt dokonania darowizny tworzy relację prawną między darczyńcą a organizacją.
Jeśli więc dane darczyńcy są wykorzystywane wyłącznie do:
zaksięgowania darowizny,
sporządzenia sprawozdań finansowych,
przedstawienia dokumentów na potrzeby kontroli (np. urzędu skarbowego),
wystawienia potwierdzenia darowizny na cele podatkowe,
to w większości przypadków wystarczającą podstawą będzie przepis prawa i/lub konieczność wykonania umowy.
Mit: „RODO = zgoda na wszystko”. Rzeczywistość: zgoda jest jedną z kilku równorzędnych podstaw i przy rozliczaniu wpłaty zwykle byłaby najsłabszą z nich (bo można ją łatwo wycofać, podczas gdy przepisy księgowe wciąż wymagają przechowywania dokumentów).
Uzasadniony interes przy jednorazowej komunikacji z darczyńcą
Organizatorzy chcą często wysłać darczyńcy:
podziękowanie za wpłatę,
krótką informację o tym, jak wykorzystano środki z akcji,
ewentualnie pojedyncze zaproszenie do pozostania w kontakcie.
Taka ograniczona komunikacja może być oparta na uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO), o ile nie narusza nadmiernie praw i wolności osoby, której dane dotyczą. Dobrą praktyką jest wykonanie testu równowagi (choćby w prostej, dokumentowanej formie) i zapewnienie możliwości łatwego sprzeciwu.
Jeżeli na przykład przy darowiźnie online organizacja informuje, że po zakończeniu zbiórki wyśle jeden e‑mail z podsumowaniem akcji, a użytkownik może w każdej chwili zrezygnować z dalszej komunikacji – trudno mówić o nadmiernej ingerencji w prywatność. Zupełnie inną historią jest automatyczne zapisanie wszystkich darczyńców na długoterminową listę marketingową bez wyboru po ich stronie.
Marketing i fundraising – kiedy potrzebna jest zgoda
Jeżeli celem jest regularna komunikacja fundraisingowa (np. newsletter, prośby o kolejne darowizny, zaproszenia na wydarzenia), sama darowizna nie wystarczy jako podstawa prawna. Dochodzą też przepisy Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną, które dla e‑maili i telefonów przewidują wymóg zgody.
Bezpieczny model to:
osobne, wyraźne pole zgody na komunikację marketingową w formularzu wpłaty,
jasne rozróżnienie między „kontakt w sprawie tej zbiórki” a „stały newsletter fundraisingowy”,
mechanizm łatwego wypisania się (link w stopce e‑maila, prosta procedura telefoniczna).
W praktyce dobrze działa zasada: jedna zgoda = jeden cel. Zgoda na przetwarzanie danych w celu organizacji zbiórki nie jest tym samym, co zgoda na marketing. Jeżeli formularz ma jedno ogólne pole „Zgadzam się na przetwarzanie moich danych” i pod spodem trzy różne cele, to przy pierwszej kontroli łatwo o zarzut braku dobrowolności i konkretności zgody.
Przetwarzanie danych szczególnych kategorii przy zbiórkach imiennych
Przy zbiórkach na rzecz konkretnej osoby chorej, osoby z niepełnosprawnością czy w kryzysie psychicznym organizacja zwykle przetwarza dane szczególnej kategorii beneficjenta. Podstawa prawna opiera się wtedy na art. 9 RODO, np. na:
wyraźnej zgodzie osoby, której dane dotyczą, lub jej przedstawiciela ustawowego,
przetwarzaniu danych niezbędnym do świadczenia usług społecznych lub opieki zdrowotnej – tam, gdzie ma to zastosowanie.
Te dane często pojawiają się także w opisach zbiórek udostępnianych publicznie (strony www, portale zrzutkowe, media społecznościowe). Organizator powinien zadbać nie tylko o podpisaną zgodę, ale też o rzeczywiste zrozumienie skutków upublicznienia przez osobę, której historia jest opisywana. Raz wprowadzony do internetu szczegółowy opis choroby trudno później usunąć z obiegu.
Z perspektywy darczyńcy istotne jest, by dane wrażliwe z opisu sprawy nie „przyklejały się” do jego osoby. Nie ma potrzeby łączenia np. danych z historii choroby beneficjenta z konkretnymi listami darczyńców w jednym systemie, chyba że wymagają tego przepisy szczególne (co jest sytuacją dość rzadką).
Zgody dzieci i młodzieży uczestniczących w zbiórkach
Jeśli w zbiórce biorą udział nieletni darczyńcy (np. uczniowie podczas akcji szkolnej), zwykle nie dochodzi do utrwalenia ich danych – wpłaty są anonimowe lub grupowe. Sytuacja się zmienia, gdy:
organizacja prowadzi konkurs dla uczniów połączony ze zbiórką i zbiera ich dane kontaktowe,
prowadzi rejestr klas lub kół zainteresowań z wyszczególnieniem uczniów zaangażowanych w akcję,
zaprasza młodzież do programu „młodych darczyńców” z newsletterem czy grupą online.
Wtedy pojawia się pytanie o zdolność dziecka do wyrażenia zgody i o rolę rodziców/opiekunów. Dla usług społeczeństwa informacyjnego RODO przewiduje granicę wieku, poniżej której potrzebna jest zgoda rodzica. Polska przyjęła tutaj 16 lat. W praktyce, jeśli organizacja kieruje newsletter fundraisingowy do uczniów szkół podstawowych i średnich, powinna mieć model, w którym rodzic/opiekun potwierdza wyrażenie zgody lub przynajmniej jest o niej informowany.
Organizacje często zakładają, że „szkoła się zgodziła, więc mamy temat załatwiony”. To nie zawsze tak działa. Zgoda dyrekcji na przeprowadzenie zbiórki nie jest automatyczną zgodą rodziców na przetwarzanie danych ich dzieci w celach marketingowych czy fundraisingowych. Zakres przetwarzania i odbiorcy danych muszą być jasne już na etapie ustaleń z placówką.
Obowiązek informacyjny wobec darczyńców – co, komu, kiedy przekazać
Zakres informacji, które trzeba przekazać darczyńcy
RODO wymienia w art. 13 i 14 pełną listę elementów klauzuli informacyjnej. W praktyce organizacji prowadzącej zbiórki oznacza to kilka kluczowych grup informacji:
kto jest administratorem danych (pełna nazwa, dane kontaktowe),
cele przetwarzania (np. przyjęcie i rozliczenie darowizny, prowadzenie księgowości, kontakt z darczyńcą, działania fundraisingowe – jeśli występują),
podstawy prawne przypisane do poszczególnych celów,
kategorie odbiorców danych (np. biuro rachunkowe, operatorzy płatności, banki, firmy IT),
okres przechowywania danych lub kryteria jego ustalania,
informację o prawach osoby (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, skarga do PUODO),
wskazanie, czy podanie danych jest wymogiem umownym/prawnym i jakie są konsekwencje ich niepodania,
informację o zautomatyzowanym podejmowaniu decyzji i profilowaniu – jeśli występuje (w wielu małych zbiórkach tego nie ma).
Błędem praktycznym jest tworzenie jednej bardzo ogólnej klauzuli „dla wszystkich”, w której wszystko jest „i po coś, i trochę na wszelki wypadek”. Dużo bezpieczniej jest mieć osobne klauzule dla różnych sytuacji: inna przy wpłacie online, inna dla wolontariuszy, inna dla beneficjentów zbiórki.
Jak przekazać obowiązek informacyjny przy zbiórkach offline
Przy zbiórkach do puszek, kwestach ulicznych czy wydarzeniach charytatywnych trudno wręczać każdemu darczyńcy kartkę z klauzulą informacyjną. Nie zwalnia to jednak z przekazania informacji. Możliwe rozwiązania to m.in.:
wywieszenie skróconej klauzuli w widocznym miejscu (plakat, roll‑up) z jasnym wskazaniem, gdzie dostępna jest pełna treść (np. adres strony www),
Obowiązek informacyjny przy zbiórkach online i przez operatorów płatności
Przy wpłatach internetowych sytuacja bywa pozornie prostsza, bo darczyńca ma przed sobą ekran – da się więc wyświetlić dłuższy tekst. Problemem jest raczej to, jak to zrobić, żeby ktoś cokolwiek przeczytał i żeby spełnić wymagania RODO, nie dublując treści operatora płatności.
Praktyczny model to połączenie kilku elementów:
krótkie streszczenie obok formularza wpłaty („Kto przetwarza Twoje dane i po co”),
link do pełnej klauzuli informacyjnej w stopce formularza lub tuż pod przyciskiem „Wpłać”,
osobne oznaczenie ról – co robi organizator zbiórki jako administrator, a co operator płatności jako odrębny administrator lub podmiot przetwarzający.
Mit, który często wraca: „skoro korzystamy z serwisu zrzutkowego lub bramki płatniczej, to obowiązek informacyjny jest po ich stronie”. W rzeczywistości każdy administrator mówi o swoich celach i swoich podstawach prawnych. Platforma opisuje swoje przetwarzanie, ale nie wyjaśni w imieniu organizacji, że dane są u niej wykorzystywane np. do sporządzenia sprawozdania ze zbiórki czy wysłania podziękowania.
Przy korzystaniu z zewnętrznych serwisów warto więc upewnić się, że:
regulamin platformy jasno wskazuje, kto jest administratorem jakich danych,
organizacja ma na swojej stronie własną klauzulę dla darczyńców, do której można odesłać z profilu zbiórki,
w komunikacji z darczyńcą nie miesza się ról („my”, „serwis”, „operator płatności”) w sposób, który zaciemnia obraz.
Moment przekazania informacji – kiedy jest „wystarczająco wcześnie”
RODO wymaga, by informacje były przekazane najpóźniej w momencie pozyskania danych. Przy zbiórkach oznacza to, że:
przy formularzu online klauzula powinna być dostępna przed wysłaniem wpłaty, a nie dopiero w e‑mailu z potwierdzeniem,
przy zbiórce przez przelew bankowy wskazane jest umieszczenie odnośnika do klauzuli w opisie zbiórki (na stronie, w mediach społecznościowych),
przy kontaktach telefonicznych, gdy darczyńca dyktuje dane, trzeba przekazać przynajmniej skróconą informację ustną i wskazać, gdzie jest pełna treść (np. adres strony www lub możliwość otrzymania e‑maila).
Częsta praktyka „doślemy klauzulę kiedyś tam, razem z newsletterem” jest ryzykowna. Osoba powinna wiedzieć, na co się godzi i jakie są zasady przetwarzania w momencie, gdy udostępnia dane, a nie po fakcie.
Obowiązek informacyjny, gdy dane pochodzą z innych źródeł
Zdarza się, że organizacja nie pozyskuje danych darczyńcy bezpośrednio, lecz np. od instytucji współorganizującej akcję albo z dokumentów bankowych w przypadku przelewów tradycyjnych. W takim układzie uruchamia się art. 14 RODO, czyli informacja dla osoby, której dane zbieramy pośrednio.
Typowe przykłady:
szkoła przekazuje fundacji listę uczniów i ich rodziców, którym wystawione mają być zaświadczenia o udziale w akcji,
organizator na podstawie wyciągu bankowego pozyskuje imię, nazwisko i adres darczyńcy, który zlecił przelew z banku.
W takich sytuacjach organizacja powinna:
w rozsądnym terminie (zasadniczo do miesiąca) poinformować osobę o przetwarzaniu jej danych,
wykonać ten obowiązek najpóźniej przy pierwszym kontakcie, jeśli następuje szybciej niż w ciągu miesiąca (np. wraz z wysłaniem potwierdzenia darowizny),
przekazać wszystkie elementy klauzuli z art. 14, w tym źródło pochodzenia danych.
Wyjątki (np. niewspółmierny wysiłek) istnieją, ale są węższe, niż wielu administratorom się wydaje. Samo stwierdzenie „mamy dużo darczyńców, to za dużo pracy” nie wystarczy, by zrezygnować z informowania.
Treść skróconej klauzuli versus pełna informacja
Przy zbiórkach – szczególnie masowych – naturalnym odruchem jest skracanie komunikatu. RODO tego nie zabrania, ale skrót powinien być uczciwy: nie może przemilczać kluczowych celów przetwarzania ani sugerować, że dane „służą wyłącznie do rozliczenia zbiórki”, jeśli planowana jest także komunikacja fundraisingowa.
Dobry skrót zwykle zawiera:
nazwę administratora i odnośnik do pełnej informacji,
wskazanie głównych celów (np. rozliczenie darowizny + ewentualny kontakt w sprawie zbiórki),
informację o prawach (choćby w jednym zdaniu: „masz m.in. prawo dostępu i sprzeciwu”).
Cała reszta – szczegółowe podstawy prawne, okresy przechowywania, kategorie odbiorców – może być rozwinięta na stronie z pełną klauzulą. Istotne, by skrócona wersja nie wprowadzała w błąd co do faktycznego zakresu użycia danych.
Język klauzul informacyjnych – zrozumiałość ponad kopiowanie wzorów
RODO wymaga, aby informacje były podane jasnym i prostym językiem. W praktyce oznacza to rezygnację z części prawniczego żargonu. Darczyńca powinien umieć po przeczytaniu zrozumieć: kto trzyma jego dane, po co, jak długo i jakie ma możliwości działania.
Często powielany jest mit, że „klauzulę trzeba skopiować z innej organizacji, bo inaczej PUODO się przyczepi”. Rzeczywistość jest odwrotna: identyczne, nieprzystające do faktycznego sposobu działania teksty zwiększają ryzyko zarzutu, że administrator nie realizuje zasady rozliczalności. Kontroler raczej zapyta, jak wygląda proces, i sprawdzi, czy opis odpowiada rzeczywistości, niż będzie porównywał tekst do szablonu z internetu.
Przy zbiórkach dobry efekt dają m.in.:
krótkie akapity zamiast jednej „ściany tekstu”,
używanie przykładów („np. wysyłamy do Ciebie jedno podsumowanie zbiórki po jej zakończeniu”),
oddzielenie informacji o przetwarzaniu w ramach tej konkretnej zbiórki od informacji o ewentualnym marketingu.
Informowanie o profilowaniu i automatycznych decyzjach przy fundraisingu
W wielu prostych zbiórkach dane darczyńców są wykorzystywane jedynie do rozliczeń i pojedynczej komunikacji – nie dochodzi do zaawansowanego profilowania. Problem pojawia się tam, gdzie organizacja rozwija profesjonalny fundraising, korzysta z narzędzi CRM, segmentuje darczyńców według kwot wpłat czy reakcji na kampanie.
Jeśli na podstawie danych budowane są profile (np. „osoby, które wpłaciły więcej niż X i otworzyły trzy ostatnie newslettery”) i na ich bazie podejmuje się decyzje o sposobie komunikacji, trzeba to uczciwie opisać. RODO nie zakazuje profilowania, ale nakazuje o nim poinformować, określić jego sensowne skutki dla osoby i dać możliwość sprzeciwu.
Co istotne, wysłanie różnych wersji newslettera do segmentów darczyńców zwykle nie jest zautomatyzowanym podejmowaniem decyzji wywołującym skutki prawne w rozumieniu art. 22 RODO. Jest to jednak profilowanie marketingowe, które wymaga przejrzystości – darczyńca ma prawo wiedzieć, że jest analizowany pod kątem zachowań, by dopasować komunikaty.
Współadministrowanie danymi przy wspólnych akcjach
Zbiórki bywają organizowane wspólnie: fundacja plus firma, kilka organizacji pozarządowych, partner medialny. W tle pojawia się pytanie: czy każdy jest osobnym administratorem, czy mamy do czynienia ze współadministratorem w rozumieniu art. 26 RODO.
Jeżeli partnerzy wspólnie decydują o celach i sposobach przetwarzania (np. wspólna baza darczyńców, wspólny system mailingowy, wspólne kampanie follow‑up), mogą zostać uznani za współadministratorów. Wtedy powinni między sobą ustalić, kto:
odpowiada za realizację poszczególnych praw osób,
jest głównym punktem kontaktu dla darczyńców,
przechowuje które dane i przez jaki okres.
Ta umowa nie jest dokumentem „do szuflady” – jej najważniejsze elementy trzeba udostępnić osobom, których dane dotyczą. Darczyńca powinien rozumieć, które podmioty korzystają z jego danych i na jakiej zasadzie.
Mit bywa taki, że wystarczy dopisać w klauzuli „partnerzy mogą być odbiorcami danych” i wszystko jest załatwione. Tymczasem jeśli partner realnie współdecyduje o przetwarzaniu, nie jest tylko „odbiorcą”, ale współadministatorem, a to pociąga za sobą inne obowiązki informacyjne i organizacyjne.
Rola wolontariuszy w przekazywaniu informacji o ochronie danych
W kwestach ulicznych i wydarzeniach charytatywnych z darczyńcami najczęściej rozmawiają nie członkowie zarządu, lecz wolontariusze. To oni są „twarzą” akcji, a więc również pierwszym kanałem, przez który można spełnić obowiązek informacyjny.
Samo wydrukowanie plakatu z klauzulą w tle nie załatwia tematu. W praktyce dobrze działa, gdy wolontariusze:
znają w skrócie odpowiedzi na podstawowe pytania („kto będzie miał dostęp do moich danych?”, „czy będę dostawać reklamy?”),
potrafią wskazać miejsce z pełną informacją (adres strony, ulotka, kod QR),
wiedzą, jak przyjąć i przekazać dalej żądanie osoby, np. sprzeciw wobec dalszego kontaktu.
To nie wymaga całodniowych szkoleń prawniczych – wystarczy krótka instrukcja i proste skrypty odpowiedzi. Zamiast zasypywać wolontariuszy definicjami z RODO, lepiej dać im 2–3 praktyczne komunikaty, których mogą użyć podczas rozmowy.
Dokumentowanie realizacji obowiązku informacyjnego
RODO opiera się na zasadzie rozliczalności – administrator ma umieć wykazać, że dopełnił obowiązków, w tym informacyjnego. Przy zbiórkach trudno prowadzić imienny rejestr tego, komu wręczono ulotkę, ale da się udokumentować sposób działania.
Przydają się m.in.:
zrzuty ekranu formularzy wpłat z widocznym odnośnikiem do klauzuli,
egzemplarz plakatu lub roll‑upu używanego podczas zbiórek stacjonarnych,
procedura opisująca, jak wolontariusze są instruowani w sprawie informowania darczyńców,
archiwum wersji klauzul informacyjnych z datami obowiązywania.
Nie chodzi o tworzenie dodatkowej biurokracji, ale o to, by w razie pytań darczyńcy czy kontroli móc pokazać, jak organizacja faktycznie realizowała obowiązek informacyjny w danym okresie.
Minimalizacja danych a zakres informacji o darczyńcy
Przy planowaniu klauzuli informacyjnej przydaje się spojrzenie z innej strony: czy dane, o które w ogóle prosimy darczyńcę, są nam potrzebne? Zasada minimalizacji mówi, że przetwarza się tylko to, co jest adekwatne do celu. Jeśli zbiórka dotyczy jednodniowej akcji, a organizacja prosi o pełny adres, numer PESEL i datę urodzenia, to trudno będzie potem przekonująco wyjaśnić to w klauzuli.
Logika jest prosta: im mniej pól w formularzu, tym prostszy opis przetwarzania i mniejsze ryzyko. Tam, gdzie prawo nie wymaga danych szczegółowych (np. do celów podatkowych), można pozwolić darczyńcy zostać anonimowym albo podać tylko imię czy adres e‑mail. Wtedy także obowiązek informacyjny dotyczy węższego, łatwiejszego do opanowania zakresu przetwarzania.
Specyfika dużych, długotrwałych kampanii fundraisingowych
Przy projektach ciągnących się miesiącami lub latami – np. stałej kampanii „1%”, cyklicznych wpłatach na program stypendialny – organizacja buduje relację z darczyńcami w dłuższym horyzoncie. W klauzuli informacyjnej trzeba to uczciwie odzwierciedlić, zamiast sugerować wyłącznie „jednorazowe rozliczenie darowizny”.
W takiej sytuacji rozsądne jest rozdzielenie:
informacji dotyczącej bieżącej wpłaty (rozliczenia, księgowość, obowiązki podatkowe),
od informacji o programie stałego wsparcia (np. darczyńcy cykliczni, członkowie klubu darczyńców), gdzie przetwarzanie ma charakter trwający.
Darczyńca powinien rozumieć, że do momentu, gdy wspiera program, organizacja będzie przechowywać pewne dane w sposób ciągły, i że po zakończeniu współpracy część z nich pozostanie w dokumentach księgowych przez okres wymagany przepisami. Taki opis pozwala uniknąć rozczarowań typu: „myślałem, że po rezygnacji z wpłat wszystkie dane zostaną od razu usunięte”.
