Co roku organizacje pożytku publicznego, którym przekazano w czasie rozliczenia podatkowego 1% PIT, otrzymują dane dotyczące podatników oraz określonych przez nich celów szczegółowych. Co z tymi danymi organizacja może i powinna zrobić? Jakimi zasadami ochrony danych osobowych należy się w takich okolicznościach kierować?
Prawie każda organizacja pozarządowa zbiera dane osobowe. W związku z tym musi stosować się do zasad RODO i wiążących się z nimi obowiązków. Zasady RODO dotyczą także danych podatników, którzy przekazują organizacjom pożytku publicznego środki finansowe w ramach 1% podatku dochodowego
Dane podatników
Część podatników, którzy co roku przekazują 1% dla organizacji pożytku publicznego, wyraża zgodę na udostępnienie swojego imienia, nazwiska i adresu łącznie z informacją o przekazanej kwocie. Dodatkowo jeśli podatnicy sobie tego życzą, mogą udostępnić organizacji informacje ułatwiające kontakt (np. nr telefonu i adres e-mail). Standardowo informacje tego typu, przekazane przez Urząd Skarbowy, trafiają do OPP we wrześniu. Nie należy zapominać, że stanowią one dane osobowe i trzeba właściwie z nimi postępować.
OPP jako administrator danych podatnika
Organizacja pożytku publicznego otrzymując dane z urzędu skarbowego, staje się administratorem danych osobowych podatników, którzy przekazali jej 1%. W efekcie organizacja dysponuje zbiorem danych albo pojedynczymi danymi, które przetwarza w systemie informatycznym i podlega szeregowi obowiązków. Jest zatem odpowiedzialna za właściwe ich wykorzystywanie, udostępnianie czy zabezpieczanie – zgodnie z przepisami RODO.
Choć organizacja ma prawo do skontaktowania się z podatnikami i np. podziękowania darczyńcy w imieniu obdarowanego, nie może przekazywać ich danych innym podmiotom. Nie może np. wysłać tych danych do beneficjentów prowadzonych przez OPP subkont, którzy mogliby się w ten sposób dowiedzieć, od kogo faktycznie wpłynął na ich konto 1%. Innymi słowy, organizacja pożytku publicznego jest uprawniona do przetwarzania danych darczyńcy 1% podatku, ale nie do udostępniania tych danych.
Dane przekazane przez podatnika danej OPP, mogą być przetwarzane wyłącznie przez nią. Warto o tym pamiętać w sytuacjach, gdy środki z 1% podatku trafiają do stowarzyszeń lub fundacji, które przekazują te środki do konkretnych osób lub innych wspieranych przez siebie organizacji.
Na podstawie żadnej umowy, która może stanowić podstawę takiej współpracy OPP nie mogą udostępnić otrzymanych danych końcowemu beneficjentowi funduszy z 1%. Organizacja pożytku publicznego nie ma żadnych podstaw prawnych do udostępnienia danych osób przekazujących 1% osobom obdarowanym, jeśli nie uzyskała zgody na zrobienie tego. Dlatego, jeśli planowane są tego typu działania, warto postarać się o zgodę wcześniej.
Obowiązek informacyjny
Wysyłając korespondencję do osób, które przekazały organizacji 1% podatku dochodowego, OPP powinny zadbać, by został wobec nich spełniony obowiązek informacyjny, tj. m.in. poinformować te osoby o przysługujących im prawach.
Stanowisko Prezesa UODO
Powyższe wyjaśnienia wynikają ze stanowiska Prezesa UODO opublikowanego w lutym 2020 roku, które było odpowiedzią na liczne pytania od organizacji pożytku publicznego. Prezes UODO zwrócił uwagę, że jeżeli podatnik w rozliczeniu rocznym wyraził wolę przekazania jego danych organizacji, to może ona je przetwarzać np. po to, by podziękować darczyńcy w imieniu obdarowanego. Podstawą do podjęcia takiego działania jest art. 6 ust. 1 lit. f RODO, co oznacza, że można to zrobić w „prawnie uzasadnionym interesie administratora”.