Warunkiem – zgoda
Ustawa odnosi się głównie do przetwarzania
danych osobowych beneficjentów fundacji rodzinnej będących osobami fizycznymi.
Fundacja będzie zobowiązana prowadzić listę beneficjentów zawierającą ich dane identyfikacyjne i adresowe oraz inne dane niezbędne do spełnienia świadczeń na ich rzecz (w tym np. informacje o przysługujących im uprawnieniach). Jeśli beneficjent nie będzie mieć numeru PESEL, rejestr powinien zawierać numer i serię jego dokumentu tożsamości lub zagraniczny numer identyfikacyjny oraz imiona jego rodziców. Beneficjent będzie udostępniać fundacji rodzinnej dane w drodze oświadczenia, zaś
fundacja będzie mogła żądać ich udokumentowania (np. poprzez przedstawienie dokumentów/zaświadczeń potwierdzających prawdziwość danych objętych oświadczeniem).
Niestety ustawa uzależnia przetwarzanie innych danych beneficjenta od uzyskania jego zgody. Wyjątkiem są dane dotyczące karalności, które nie mogą być przetwarzane w żadnym wypadku. Jednocześnie warunkiem przetwarzania „dodatkowych” danych będzie konieczność zabezpieczenia praw i interesów beneficjenta lub realizacji statutowych obowiązków fundacji.
Wprowadzenie takiego obostrzenia nie jest uzasadnione obawą o bezpodstawne przetwarzanie danych. Przetwarzanie danych osobowych mogłoby w tym przypadku być oparte na art. 6 ust. 1 lit. f RODO – podstawą byłaby niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez fundację jako administratora, wobec którego beneficjent mógłby wnieść sprzeciw.
W przypadku danych o zdrowiu beneficjenta, które nierzadko będą przetwarzane przez fundację rodzinną, a zaliczają się do tzw. szczególnych kategorii danych, podstawą przetwarzania zamiast feralnej zgody mógłby być art. 9 ust. 2 lit. d RODO, tj. przetwarzanie przez fundację w ramach jej uprawnionej działalności.
Beneficjent będzie mógł odmówić wyrażenia zgody lub wycofać ją w dowolnym momencie. Zatem wymóg pozyskania zgody może w praktyce utrudnić lub nawet uniemożliwić realizację obowiązków fundacji, dla których konieczne jest przetwarzanie danych wykraczających poza powyższy katalog. Tym bardziej że niektóre dane beneficjenta mogą być już wcześniej wskazane przez fundatora w statucie.
Małoletni beneficjent
Okolicznością dodatkowo komplikującą odebranie zgody na przetwarzanie danych może być to, że beneficjentem nierzadko będzie osoba małoletnia – wówczas zgody będzie musiał udzielić jej przedstawiciel ustawowy. Odmowa udzielenia zgody w imieniu dziecka może celowo torpedować wolę fundatora, chcącego ograniczyć wpływ wstępnych beneficjenta na przyznawane mu świadczenia (scenariusz ewentualnego konfliktu interesów fundatora i rodziców beneficjenta przewidział ustawodawca, umożliwiając fundatorowi m.in. zastrzeżenie, że przedmioty przypadające małoletniemu beneficjentowi z tytułu świadczeń spełnionych przez fundację rodzinną nie będą objęte zarządem sprawowanym przez rodziców).
Szczególne uprawnienia
Beneficjent będzie miał prawo do uzyskania informacji o działalności fundacji rodzinnej, w tym prawo wglądu do dokumentów fundacji i uzyskania od zarządu wyjaśnień. Przepis nakazuje fundacji uwzględnić zasady ochrony danych osobowych przy udzielaniu tych informacji, jednak nie precyzuje tego obowiązku.
W praktyce istotne w kontekście udzielenia tych informacji będzie działanie zgodne z zasadą minimalizacji danych, tj. dbałość, aby zakres udzielonych informacji nie wykraczał poza cel zapytania ani nie naruszał praw innych osób, których dane dotyczą (zwłaszcza w sytuacjach, gdy istnieje kilku beneficjentów fundacji rodzinnej). Tym bardziej że dane, których dotyczy zapytanie, będą mogły jednocześnie stanowić tajemnicę fundacji rodzinnej.
Fundacja rodzinna będzie miała obowiązek udzielenia odpowiedzi na wniosek beneficjenta w terminie miesiąca. Możliwa będzie jednak odmowa, jeśli pojawi się uzasadniona obawa, że prawo to zostanie wykorzystane przez beneficjenta w celach sprzecznych z interesem i celem fundacji.
Zapytanie tego rodzaju fundacja powinna rozpatrzyć równocześnie jako wniosek o udzielenie dostępu do danych na podstawie art. 15 RODO. Dostęp ten obejmuje oprócz wglądu lub uzyskania kopii danych poinformowanie podmiotu danych o celach przetwarzania, kategoriach danych osobowych, odbiorcach i źródle danych, planowanym okresie przechowywania danych, prawach podmiotu danych oraz o zautomatyzowanym podejmowaniu decyzji i zabezpieczeniach transferu danych do państw trzecich. W tym przypadku fundacja powinna odpowiedzieć bez zbędnej zwłoki, maksymalnie w ciągu miesiąca od otrzymania żądania.
Retencja danych osobowych
Dane osobowe powinny być przechowywane przez fundację rodzinną przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania.
Istotnym obowiązkiem zarządu fundacji będzie coroczny przegląd danych osobowych prowadzący do ustalenia, czy ich dalsze przechowywanie jest niezbędne. Zarząd będzie miał obowiązek niezwłocznie usunąć te dane osobowe, które przestaną być niezbędne do zabezpieczenia praw lub interesów beneficjenta albo wykonywania statutowych obowiązków fundacji.
W przypadku likwidacji fundacji rodzinnej księgi i dokumenty zawierające dane osobowe zostaną oddane na przechowanie osobie wskazanej w statucie lub uchwale zgromadzenia beneficjentów. W przypadku braku takiego wskazania przechowawcę (stającego się odtąd odrębnym administratorem danych osobowych przetwarzanych dotąd przez fundację) wyznaczy sąd rejestrowy.
Inne obowiązki
Fundacja rodzinna będzie zobowiązana do prowadzenia i przechowywania dokumentów dotyczących przetwarzanych danych osobowych w postaci papierowej lub elektronicznej, w sposób gwarantujący zachowanie ich poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących utratą, uszkodzeniem lub zniszczeniem. Niezależnie na fundacji będą też ciążyć inne obowiązki administratora danych wynikające z RODO – brak wzmianki o nich w ustawie o fundacji rodzinnej nie oznacza jednak, że powinny się one znaleźć na dalszym planie.
Wśród nich warto wyróżnić konieczność przekazania osobom, których dane fundacja przetwarza (w tym beneficjentowi), klauzuli informacyjnej. Klauzula zawierająca m.in. dane kontaktowe fundacji, informacje o celach i podstawach przetwarzania czy prawach podmiotu danych powinna być przekazana osobie, której dane dotyczą, najpóźniej w momencie otrzymania danych. Jeśli dane pochodzą z zewnętrznego źródła (np. od fundatora), fundacja będzie miała co do zasady miesiąc na jej przekazanie.
Fundacja będzie mieć również obowiązek prowadzenia dokumentacji ochrony danych osobowych, w tym zwłaszcza rejestrowania czynności przetwarzania. Warto przy tym zaznaczyć, że beneficjenci fundacji nie są jedynymi podmiotami, których dane przetwarza fundacja rodzinna. Będzie ona przetwarzała również dane osobowe członków jej organów, pracowników oraz osób, których dane pozyska w związku z ewentualnie prowadzoną działalnością gospodarczą – w tym kontrahentów będących osobami fizycznymi czy reprezentantów i osób kontaktowych kontrahentów będących osobami prawnymi.
RODO kulą u nogi realizatorów woli fundatora?
Przed zarządem fundacji będą stać istotne wyzwania związane z zapewnieniem zgodności z prawem przetwarzania danych, zwłaszcza beneficjentów. Ilość informacji o beneficjentach przetwarzanych przez fundację w toku jej działalności z pewnością będą wykraczać poza założenia większości fundatorów istniejące na etapie opracowania statutu. Ziszczenie się każdego z warunków realizacji świadczeń na rzecz beneficjenta (do których mogą należeć zarówno ukończenie danego etapu edukacji, jak i wypadki losowe, takie jak choroba czy postępy w rekonwalescencji), będzie mogło wiązać się z przetwarzaniem nowych kategorii danych osobowych, a obowiązujące przepisy nakazują fundacji pochylenie się nad każdą z nich.©℗
• ustawa z 26 stycznia 2023 r. o fundacjach rodzinnych (Dz.U. z 2023 r. poz. 326)
• art. 6 ust. 1 lit. f; art. 9 ust. 2 lit. d; art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; inaczej: RODO)