Planuję założyć fundację rodzinną, w której będę jedynym fundatorem. Beneficjentami mają być moja żona i dwójka małoletnich dzieci. Czy mimo pokrewieństwa między nami będę musiał wprowadzić jakieś procedury zarządzania danymi osobowymi, które pozyska fundacja? Czy zasady przetwarzania danych przez fundację będą takie same jak w przypadku przedsiębiorstw, czy czymś się różnią? Kto będzie administratorem takich danych osobowych? Problem wyjaśnia Zuzanna Prandecka-Walek, adwokat, senior associate w Olesiński i Wspólnicy.

Pierwsze fundacje rodzinne będą mogły zacząć powstawać w Polsce już od 22 maja 2023 r. Wtedy bowiem zaczną obowiązywać przepisy nowej ustawy w tym zakresie. Tym samym w polskim porządku prawnym pojawi się całkowicie nowy podmiot.
Fundacja rodzinna, jak każda inna fundacja, będzie administratorem danych osobowych przetwarzanych w związku z realizacją jej celów statutowych. Będzie ona nowym typem fundacji, co oczywiście będzie oznaczać konieczność przeanalizowania, jak w tego rodzaju organizacji układają się zasady dotyczące ochrony danych osobowych.
Jeszcze w uzasadnieniu projektu ustawy o fundacjach, na etapie prac legislacyjnych, położono nacisk zwłaszcza na dwa aspekty: „zasad postępowania przy przetwarzaniu danych” oraz praw podmiotów danych. Nie ulega jednak wątpliwości, że w kontekście statusu fundacji jako administratora danych osobowych na jej obowiązki związane z przetwarzaniem danych należy patrzeć szerzej. niż opisuje je polski ustawodawca.

Warunkiem – zgoda

Ustawa odnosi się głównie do przetwarzania danych osobowych beneficjentów fundacji rodzinnej będących osobami fizycznymi.
Fundacja będzie zobowiązana prowadzić listę beneficjentów zawierającą ich dane identyfikacyjne i adresowe oraz inne dane niezbędne do spełnienia świadczeń na ich rzecz (w tym np. informacje o przysługujących im uprawnieniach). Jeśli beneficjent nie będzie mieć numeru PESEL, rejestr powinien zawierać numer i serię jego dokumentu tożsamości lub zagraniczny numer identyfikacyjny oraz imiona jego rodziców. Beneficjent będzie udostępniać fundacji rodzinnej dane w drodze oświadczenia, zaś fundacja będzie mogła żądać ich udokumentowania (np. poprzez przedstawienie dokumentów/zaświadczeń potwierdzających prawdziwość danych objętych oświadczeniem).
Niestety ustawa uzależnia przetwarzanie innych danych beneficjenta od uzyskania jego zgody. Wyjątkiem są dane dotyczące karalności, które nie mogą być przetwarzane w żadnym wypadku. Jednocześnie warunkiem przetwarzania „dodatkowych” danych będzie konieczność zabezpieczenia praw i interesów beneficjenta lub realizacji statutowych obowiązków fundacji.
Wprowadzenie takiego obostrzenia nie jest uzasadnione obawą o bezpodstawne przetwarzanie danych. Przetwarzanie danych osobowych mogłoby w tym przypadku być oparte na art. 6 ust. 1 lit. f RODO – podstawą byłaby niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez fundację jako administratora, wobec którego beneficjent mógłby wnieść sprzeciw.
W przypadku danych o zdrowiu beneficjenta, które nierzadko będą przetwarzane przez fundację rodzinną, a zaliczają się do tzw. szczególnych kategorii danych, podstawą przetwarzania zamiast feralnej zgody mógłby być art. 9 ust. 2 lit. d RODO, tj. przetwarzanie przez fundację w ramach jej uprawnionej działalności.
Beneficjent będzie mógł odmówić wyrażenia zgody lub wycofać ją w dowolnym momencie. Zatem wymóg pozyskania zgody może w praktyce utrudnić lub nawet uniemożliwić realizację obowiązków fundacji, dla których konieczne jest przetwarzanie danych wykraczających poza powyższy katalog. Tym bardziej że niektóre dane beneficjenta mogą być już wcześniej wskazane przez fundatora w statucie.

Małoletni beneficjent

Okolicznością dodatkowo komplikującą odebranie zgody na przetwarzanie danych może być to, że beneficjentem nierzadko będzie osoba małoletnia – wówczas zgody będzie musiał udzielić jej przedstawiciel ustawowy. Odmowa udzielenia zgody w imieniu dziecka może celowo torpedować wolę fundatora, chcącego ograniczyć wpływ wstępnych beneficjenta na przyznawane mu świadczenia (scenariusz ewentualnego konfliktu interesów fundatora i rodziców beneficjenta przewidział ustawodawca, umożliwiając fundatorowi m.in. zastrzeżenie, że przedmioty przypadające małoletniemu beneficjentowi z tytułu świadczeń spełnionych przez fundację rodzinną nie będą objęte zarządem sprawowanym przez rodziców).

Szczególne uprawnienia

Beneficjent będzie miał prawo do uzyskania informacji o działalności fundacji rodzinnej, w tym prawo wglądu do dokumentów fundacji i uzyskania od zarządu wyjaśnień. Przepis nakazuje fundacji uwzględnić zasady ochrony danych osobowych przy udzielaniu tych informacji, jednak nie precyzuje tego obowiązku.
W praktyce istotne w kontekście udzielenia tych informacji będzie działanie zgodne z zasadą minimalizacji danych, tj. dbałość, aby zakres udzielonych informacji nie wykraczał poza cel zapytania ani nie naruszał praw innych osób, których dane dotyczą (zwłaszcza w sytuacjach, gdy istnieje kilku beneficjentów fundacji rodzinnej). Tym bardziej że dane, których dotyczy zapytanie, będą mogły jednocześnie stanowić tajemnicę fundacji rodzinnej.
Fundacja rodzinna będzie miała obowiązek udzielenia odpowiedzi na wniosek beneficjenta w terminie miesiąca. Możliwa będzie jednak odmowa, jeśli pojawi się uzasadniona obawa, że prawo to zostanie wykorzystane przez beneficjenta w celach sprzecznych z interesem i celem fundacji.
Zapytanie tego rodzaju fundacja powinna rozpatrzyć równocześnie jako wniosek o udzielenie dostępu do danych na podstawie art. 15 RODO. Dostęp ten obejmuje oprócz wglądu lub uzyskania kopii danych poinformowanie podmiotu danych o celach przetwarzania, kategoriach danych osobowych, odbiorcach i źródle danych, planowanym okresie przechowywania danych, prawach podmiotu danych oraz o zautomatyzowanym podejmowaniu decyzji i zabezpieczeniach transferu danych do państw trzecich. W tym przypadku fundacja powinna odpowiedzieć bez zbędnej zwłoki, maksymalnie w ciągu miesiąca od otrzymania żądania.

Retencja danych osobowych

Dane osobowe powinny być przechowywane przez fundację rodzinną przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania.
Istotnym obowiązkiem zarządu fundacji będzie coroczny przegląd danych osobowych prowadzący do ustalenia, czy ich dalsze przechowywanie jest niezbędne. Zarząd będzie miał obowiązek niezwłocznie usunąć te dane osobowe, które przestaną być niezbędne do zabezpieczenia praw lub interesów beneficjenta albo wykonywania statutowych obowiązków fundacji.
W przypadku likwidacji fundacji rodzinnej księgi i dokumenty zawierające dane osobowe zostaną oddane na przechowanie osobie wskazanej w statucie lub uchwale zgromadzenia beneficjentów. W przypadku braku takiego wskazania przechowawcę (stającego się odtąd odrębnym administratorem danych osobowych przetwarzanych dotąd przez fundację) wyznaczy sąd rejestrowy.

Inne obowiązki

Fundacja rodzinna będzie zobowiązana do prowadzenia i przechowywania dokumentów dotyczących przetwarzanych danych osobowych w postaci papierowej lub elektronicznej, w sposób gwarantujący zachowanie ich poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących utratą, uszkodzeniem lub zniszczeniem. Niezależnie na fundacji będą też ciążyć inne obowiązki administratora danych wynikające z RODO – brak wzmianki o nich w ustawie o fundacji rodzinnej nie oznacza jednak, że powinny się one znaleźć na dalszym planie.
Wśród nich warto wyróżnić konieczność przekazania osobom, których dane fundacja przetwarza (w tym beneficjentowi), klauzuli informacyjnej. Klauzula zawierająca m.in. dane kontaktowe fundacji, informacje o celach i podstawach przetwarzania czy prawach podmiotu danych powinna być przekazana osobie, której dane dotyczą, najpóźniej w momencie otrzymania danych. Jeśli dane pochodzą z zewnętrznego źródła (np. od fundatora), fundacja będzie miała co do zasady miesiąc na jej przekazanie.
Fundacja będzie mieć również obowiązek prowadzenia dokumentacji ochrony danych osobowych, w tym zwłaszcza rejestrowania czynności przetwarzania. Warto przy tym zaznaczyć, że beneficjenci fundacji nie są jedynymi podmiotami, których dane przetwarza fundacja rodzinna. Będzie ona przetwarzała również dane osobowe członków jej organów, pracowników oraz osób, których dane pozyska w związku z ewentualnie prowadzoną działalnością gospodarczą – w tym kontrahentów będących osobami fizycznymi czy reprezentantów i osób kontaktowych kontrahentów będących osobami prawnymi.

RODO kulą u nogi realizatorów woli fundatora?

Przed zarządem fundacji będą stać istotne wyzwania związane z zapewnieniem zgodności z prawem przetwarzania danych, zwłaszcza beneficjentów. Ilość informacji o beneficjentach przetwarzanych przez fundację w toku jej działalności z pewnością będą wykraczać poza założenia większości fundatorów istniejące na etapie opracowania statutu. Ziszczenie się każdego z warunków realizacji świadczeń na rzecz beneficjenta (do których mogą należeć zarówno ukończenie danego etapu edukacji, jak i wypadki losowe, takie jak choroba czy postępy w rekonwalescencji), będzie mogło wiązać się z przetwarzaniem nowych kategorii danych osobowych, a obowiązujące przepisy nakazują fundacji pochylenie się nad każdą z nich.©℗
Podstawa prawna
• ustawa z 26 stycznia 2023 r. o fundacjach rodzinnych (Dz.U. z 2023 r. poz. 326)
• art. 6 ust. 1 lit. f; art. 9 ust. 2 lit. d; art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; inaczej: RODO)