Fundacja rodzinna, jak każda inna fundacja, jest administratorem danych osobowych przetwarzanych w związku z realizacją jej celów statutowych. Musi ona prowadzić listę beneficjentów zawierającą ich dane identyfikacyjne i adresowe oraz inne dane niezbędne do spełnienia świadczeń na ich rzecz (w tym np. informacje o przysługujących im uprawnieniach). Jeśli beneficjent nie będzie mieć nadanego numeru PESEL, to rejestr powinien zawierać numer i serię jego dokumentu tożsamości lub zagraniczny numer identyfikacyjny oraz imiona jego rodziców. Beneficjent będzie udostępniać fundacji rodzinnej dane w drodze oświadczenia, fundacja zaś będzie mogła żądać ich udokumentowania (np. poprzez przedstawienie dokumentów potwierdzających prawdziwość danych objętych oświadczeniem).

Niestety ustawa o fundacji rodzinnej (dalej: u.f.r.) uzależnia przetwarzanie innych danych beneficjenta od uzyskania jego zgody. Wyjątkiem są dane dotyczące karalności, które nie mogą być przetwarzane w żadnym wypadku. Jednocześnie warunkiem przetwarzania „dodatkowych” danych jest konieczność zabezpieczenia praw i interesów beneficjenta lub realizacji statutowych obowiązków fundacji. I tak np. w przypadku danych o zdrowiu beneficjenta, które nierzadko będą przetwarzane przez fundację rodzinną, a zaliczają się do tzw. szczególnych kategorii danych, podstawą przetwarzania zamiast zgody mógłby być art. 9 ust. 2 lit. d RODO, dotyczący przetwarzania danych przez fundację w ramach jej uprawnionej działalności.

WAŻNE Beneficjenci fundacji rodzinnej nie są jedynymi podmiotami, których dane ona przetwarza. Dotyczy to bowiem również członków jej organów, pracowników oraz osób, których dane pozyska w związku z ewentualnie prowadzoną działalnością gospodarczą – w tym kontrahentów będących osobami fizycznymi czy reprezentantów i osób kontaktowych kontrahentów będących osobami prawnymi.

Beneficjent może odmówić wyrażenia zgody lub wycofać ją w dowolnym momencie. Zatem wymóg pozyskania zgody może w praktyce utrudnić lub nawet uniemożliwić realizację obowiązków fundacji, dla których konieczne jest przetwarzanie danych wykraczających poza powyższy katalog. A jednocześnie niektóre dane beneficjenta mogą być już wcześniej wskazane przez fundatora w statucie.

Okolicznością dodatkowo komplikującą odebranie zgody na przetwarzanie danych może być to, że beneficjentem nierzadko będzie osoba małoletnia – wówczas zgody będzie musiał udzielić jej przedstawiciel ustawowy. Odmowa udzielenia zgody w imieniu dziecka może celowo torpedować wolę fundatora, chcącego ograniczyć wpływ wstępnych beneficjenta na przyznawane mu świadczenia. Skądinąd scenariusz ewentualnego konfliktu interesów fundatora i rodziców beneficjenta przewidział ustawodawca, umożliwiając fundatorowi m.in. zastrzeżenie, że przedmioty przypadające małoletniemu beneficjentowi z tytułu świadczeń spełnionych przez fundację rodzinną nie będą objęte zarządem sprawowanym przez rodziców.

Rok z fundacją rodzinną w Polsce. Czy rozwiązanie się sprawdza?
Rok z fundacją rodzinną w Polsce. Czy rozwiązanie się sprawdza?

Zobacz również

Szczególne uprawnienia

Beneficjent ma prawo do uzyskania informacji o działalności fundacji rodzinnej, w tym prawo wglądu do dokumentów fundacji i uzyskania od zarządu wyjaśnień. Przepisy nakazują fundacji uwzględnić zasady ochrony danych osobowych przy udzielaniu tych informacji, jednak nie precyzują sposobu realizacji tego obowiązku. W praktyce istotne w kontekście udzielenia tych informacji jest działanie zgodne z zasadą minimalizacji danych, tj. dbałość, aby zakres udzielonych informacji nie wykraczał poza cel zapytania ani nie naruszał praw innych osób, których dane dotyczą (zwłaszcza w sytuacjach, gdy jest kilku beneficjentów fundacji rodzinnej). Tym bardziej że dane, których dotyczy zapytanie, mogą jednocześnie stanowić tzw. tajemnicę fundacji rodzinnej.

Fundacja rodzinna ma udzielić odpowiedzi na wniosek beneficjenta w terminie miesiąca. Jednak możliwa jest odmowa, jeśli pojawi się uzasadniona obawa, że prawo to zostanie wykorzystane przez beneficjenta w celach sprzecznych z interesem i celem fundacji.

Wspomniane wyżej zapytanie fundacja powinna rozpatrzyć równocześnie jako realizację uprawnienia podmiotu danych przewidzianego w art. 15 RODO, tj. wniosek o udzielenie dostępu do danych. Dostęp ten obejmuje oprócz wglądu lub uzyskania kopii danych poinformowanie podmiotu danych o celach przetwarzania, kategoriach danych osobowych, odbiorcach i źródle danych, planowanym okresie przechowywania danych, prawach podmiotu danych oraz o zautomatyzowanym podejmowaniu decyzji i zabezpieczeniach transferu danych do państw trzecich. W tym przypadku fundacja powinna odpowiedzieć bez zbędnej zwłoki, maksymalnie w ciągu miesiąca od otrzymania żądania.

Inne obowiązki

▶ Dane osobowe powinny być przechowywane przez fundację rodzinną przez okres nie dłuższy niż jest to niezbędne do celów przetwarzania. Jej zarząd co roku musi przeprowadzać coroczny przegląd danych osobowych, by ustalić, czy ich dalsze przechowywanie jest niezbędne. Ma też obowiązek niezwłocznie usunąć te dane osobowe, które przestaną być niezbędne do zabezpieczenia praw lub interesów beneficjenta albo wykonywania statutowych obowiązków fundacji.

▶ W przypadku likwidacji fundacji rodzinnej księgi i dokumenty zawierające dane osobowe zostaną oddane na przechowanie osobie wskazanej w statucie lub uchwale zgromadzenia beneficjentów. Gdy nie będzie takiego wskazania, przechowawcę (stającego się od tej pory odrębnym administratorem danych osobowych przetwarzanych dotychczas przez fundację) wyznaczy sąd rejestrowy.

▶ Fundacja rodzinna musi prowadzić i przechowywać dokumenty dotyczące przetwarzanych danych osobowych w postaci papierowej lub elektronicznej, w sposób gwarantujący zachowanie ich poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących utratą, uszkodzeniem lub zniszczeniem.

▶ Jest ona zobowiązana przekazać osobom, których dane przetwarza ‒ najpóźniej w momencie otrzymania danych ‒ klauzulę informacyjną zawierającą m.in. dane kontaktowe fundacji, informacje o celach i podstawach przetwarzania czy prawach podmiotu danych. Jeśli dane pochodzą z zewnętrznego źródła (np. od fundatora), to fundacja ma co do zasady miesiąc na przekazanie wspomnianej klauzuli.

▶ Musi ona również prowadzić dokumentację ochrony danych osobowych, w tym co do zasady ma obowiązek rejestrowania czynności przetwarzania danych. ©℗

Przepisy RODO i u.f.r. znów nie są jednak spójne. Ustawa zakazuje odmowy rozpatrzenia żądania udzielenia informacji w zakresie, w jakim dotyczy ono dostępu do danych osobowych beneficjenta. Natomiast RODO przewiduje możliwość takiej odmowy w sytuacji, gdy żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter. Ustawodawca rozszerzył więc uprawnienia podmiotu danych i uniemożliwił fundacji rodzinnej odmowę realizacji prawa dostępu do danych w tym szczególnym przypadku. W razie ustawicznych i ewidentnie nieuzasadnionych wniosków beneficjenta o taki dostęp fundacji pozostaje możliwość pobrania od niego opłaty w wysokości uwzględniającej administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań.

Kula u nogi?

Przed zarządem fundacji stoją istotne wyzwania związane z zapewnieniem zgodności z prawem przetwarzania danych, zwłaszcza beneficjentów. Ilość przetwarzanych o nich informacji przez fundację w toku jej działalności z pewnością wykracza poza założenia większości fundatorów przyjmowane na etapie opracowania statutu. Ziszczenie się każdego z warunków realizacji świadczeń na rzecz beneficjenta (do których mogą należeć zarówno ukończenie danego etapu edukacji, jak i wypadki losowe, takie jak choroba czy postępy w rekonwalescencji), może wiązać się z przetwarzaniem nowych kategorii danych osobowych, a obowiązujące przepisy nakazują fundacji staranne rozpatrzenie każdej takiej sytuacji. ©℗

Podstawa prawna

Podstawa prawna

• ustawa z 26 stycznia 2023 r. o fundacji rodzinnej (Dz.U. z 2023 r. poz. 326; ost.zm. Dz.U. z 2023 r. poz. 825)

• art. 6 ust. 1 lit. f, art. 9 ust. 2 lit. d, art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO)