Polityka prywatności

Polityka Ochrony Danych Osobowych Stowarzyszenia „Naprzód!”
SPIS TREŚCI
  1. Skróty i definicje
  2. Cele Polityki Ochrony Danych Osobowych
  3. Podstawy prawne
  4. Ogólne zasady przetwarzania danych osobowych
  5. Zakres i cel przetwarzania danych
  6. Uprawnienia osób, których dane dotyczą
  7. Obszar przetwarzania danych
  8. Środki techniczne i organizacyjne
  9. Naruszenia ochrony danych osobowych
  10. Przechowywanie i usuwanie danych
  11. Postanowienia końcowe
Data przyjęcia: 26.09.2025, Uchwałą Zarządu Głównego nr 08/2025
SKRÓTY I DEFINICJE

§1

Definicje według Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych):

  1. Dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO);
  2. Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO);
  3. Ograniczenie przetwarzania – oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania (art. 4 pkt 3 RODO);
  4. Administrator Danych Osobowych (Administrator) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub państwa członkowskiego, to również w prawie Unii lub państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania (art. 4 pkt 7 RODO);
  5. Odbiorca danych – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem UE lub państwa członkowskiego, nie są uznawane za odbiorców (art. 4 pkt 9 RODO);
  6. Podmiot przetwarzający (procesor) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO);
  7. Osoba, której dane dotyczą – osoba fizyczna, której dane osobowe są przetwarzane (art. 4 pkt 1 RODO);
  8. Zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą, poprzez oświadczenie lub wyraźne działanie potwierdzające, że zgadza się na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO);
  9. Profilowanie – dowolna forma zautomatyzowanego przetwarzania danych osobowych polegająca na wykorzystaniu tych danych do oceny określonych aspektów osoby fizycznej, zwłaszcza do analizy lub prognozy aspektów dotyczących jej wydajności w pracy, sytuacji ekonomicznej, zdrowia, preferencji osobistych, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt 4 RODO);
  10. Organ nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie UE, odpowiedzialny za monitorowanie stosowania RODO, udzielanie porad i nakładanie sankcji (art. 4 pkt 21 RODO);
  11. Skarga – formalne zgłoszenie osoby, której dane dotyczą, do organu nadzorczego w sprawie naruszenia przepisów RODO dotyczących ochrony danych osobowych (art. 77 RODO);
  12. Zgłaszający naruszenie danych – osoba, która zgłasza naruszenie ochrony danych osobowych do organu nadzorczego lub administratora (definicja wynikająca z praktyki stosowania RODO i wytycznych Europejskiej Rady Ochrony Danych).
  13. Anonimizacja – proces przetwarzania danych osobowych w taki sposób, że osoby, których dane dotyczą, nie mogą być już zidentyfikowane bez użycia dodatkowych informacji. Dane poddane anonimizacji przestają być danymi osobowymi w rozumieniu RODO i mogą być wykorzystywane w celach analitycznych lub statystycznych bez ograniczeń wynikających z przepisów o ochronie danych osobowych.
CELE POLITYKI OCHRONY DANYCH OSOBOWYCH

§1

Celem wprowadzenia niniejszej Polityki Ochrony Danych Osobowych (dalej: Polityka) jest zapewnienie, że działalność Stowarzyszenia „Naprzód!” (dalej: Stowarzyszenie) jako Głównego Administratora Danych Osobowych (dalej: Administrator) pozostaje zgodna z obowiązującymi przepisami prawa dotyczącymi przetwarzania i ochrony danych osobowych.

Dokument określa zasady i procedury, które należy stosować, aby zapewnić prawidłową ochronę danych powierzonych lub udostępnionych Administratorowi.

Polityka obowiązuje wszystkie osoby, których dane dotyczą: członkowie stowarzyszenia, stażyści, wolontariusze, uczestnicy projektów i obserwatorzy, a także wszystkie podmioty przetwarzające dane w imieniu Stowarzyszenia (upoważnieni, podwykonawcy, partnerzy).

§2

Cele obejmują także:

  1. podnoszenie świadomości osób przetwarzających dane osobowe,
  2. zapewnienie poufności, integralności i rozliczalności danych,
  3. stworzenie jasnych procedur w przypadku incydentów bezpieczeństwa,
  4. określenie procedur w przypadku powierzenia przetwarzania danych podmiotom zewnętrznym, w tym wymogów dotyczących zawierania umów powierzenia i kontroli takich podmiotów.

§3

Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych Dz.Urz. UE L 119, s. 1).

PODSTAWY PRAWNE

§1

Podstawą prawną przetwarzania danych są: RODO, ustawa o ochronie danych osobowych z 10 maja 2018 r. oraz inne przepisy prawa.

§2

Podstawą prawną przetwarzania danych przez Stowarzyszenie są w szczególności:

  1. zgoda osoby (art. 6 ust. 1 lit. a RODO),
  2. wykonanie umowy (lit. b),
  3. obowiązek prawny (lit. c),
  4. uzasadniony interes administratora (lit. f).

§3

W przypadku przetwarzania szczególnych kategorii danych osobowych (np. danych dotyczących zdrowia) podstawą prawną jest art. 9 ust. 2 RODO, w szczególności zgoda osoby, której dane dotyczą, lub konieczność ochrony jej żywotnych interesów.

§4

W przypadku obserwatorów i wolontariuszy, dane mogą być przetwarzane także w ramach zadań realizowanych w interesie publicznym (art. 6 ust. 1 lit. e RODO), wynikających z przepisów szczególnych, np. Kodeksu wyborczego.

§5

W przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej stosuje się mechanizmy przewidziane w rozdziale V RODO (np. decyzja stwierdzająca odpowiedni stopień ochrony, standardowe klauzule umowne, wiążące reguły korporacyjne).

OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

§1

Administratorem Danych Osobowych (dalej: Administrator) jest Zarząd Główny Stowarzyszenia, zarejestrowany przy ul. Zielnej 43/18, 51-313 we Wrocławiu, adres e-mail: stowarzyszenienaprzod@gmail.com, nr KRS: 0001192475, nr NIP: 8952292451, nr REGON: 542649761.

§2

Dane osobowe przetwarzane są zgodnie z zasadą minimalizacji danych, tj. ograniczają się do niezbędnych danych do realizacji celu przetwarzania.

§3

Dane osobowe przetwarzane są zgodnie z zasadą ograniczenia celu – zbierane są w konkretnych i prawnie uzasadnionych celach i nie będą dalej przetwarzane w sposób niezgodny z tymi celami.

§4

Administrator zapewnia, że dane są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

§5

Powierzenie przetwarzania danych osobowych podmiotom zewnętrznym odbywa się wyłącznie na podstawie pisemnej umowy powierzenia zawierającej wszystkie wymagane klauzule przewidziane przez RODO oraz wymóg weryfikacji środków bezpieczeństwa.

§6

Administrator zapewnia aktualizację i poprawność danych oraz ich bezpieczeństwo za pomocą odpowiednich środków technicznych i organizacyjnych. Wzory upoważnień i oświadczeń o zachowaniu poufności określone są w Załącznikach 1 i 2.

ZAKRES I CEL PRZETWARZANIA DANYCH

§1

Administrator przetwarza dane osobowe:

  1. członków Stowarzyszenia,
  2. pracowników i wolontariuszy,
  3. partnerów i kontrahentów,
  4. osób korzystających z usług Stowarzyszenia,
  5. osób zgłaszających się do udziału lub organizacji wydarzeń organizowanych przez Stowarzyszenie,
  6. osób kontaktujących się ze Stowarzyszeniem.

§2

Cele przetwarzania danych to:

  1. realizacja celów statutowych Stowarzyszenia,
  2. prowadzenie działalności administracyjnej,
  3. realizacja umów i porozumień,
  4. zapewnienie bezpieczeństwa i porządku na wydarzeniach,
  5. kontakt i komunikacja,
  6. wypełnianie obowiązków prawnych.

§3

W przypadku projektów specjalnych, np. wyborczych, mogą być przetwarzane dane obserwatorów, kandydatów lub wolontariuszy, w tym preferencje dotyczące miejsca i czasu pracy, a także dane kontaktowe udostępniane w ramach zespołów zadaniowych – za zgodą tych osób.

§4

W przypadku przetwarzania szczególnych kategorii danych osobowych (np. dotyczących zdrowia uczestników wydarzeń), Administrator stosuje dodatkowe środki bezpieczeństwa, w tym ograniczenie dostępu do wąskiego grona osób oraz przechowywanie danych w postaci zaszyfrowanej.

§5

Zbierane będą dane takie jak: imię, nazwisko, e-mail, telefon, adres, numer konta, wizerunek (jeśli wymagany), inne dane absolutnie niezbędne do realizacji celu, w którym dane są przetwarzane.

Dane są przetwarzane tylko przez osoby upoważnione i nie są udostępniane podmiotom trzecim bez uzasadnienia prawnego.

Do osób upoważnionych należą oficjalnie wybrani przez Zgromadzenie Walne członkowie Zarządu Głównego Stowarzyszenia oraz upoważnione do tego przez Zarząd osoby zaangażowane w projekty Stowarzyszenia, wyłącznie w celu wykonania konkretnych i niezbędnych zadań.

§6

Tylko osoby posiadające ważne pisemne upoważnienie (Załącznik 1) mogą przetwarzać dane. Obowiązkiem tych osób jest zachowanie poufności, zapoznanie się i przestrzeganie Polityki.

Każda osoba upoważniona musi:

  1. zapoznać się z Polityką i instrukcjami bezpieczeństwa,
  2. przetwarzać dane wyłącznie w zakresie określonym w pisemnym upoważnieniu,
  3. zachować w tajemnicy dane i sposoby ich zabezpieczenia także po ustaniu upoważnienia.

§7

Administrator zapewnia, że wszyscy podwykonawcy lub partnerzy, którzy mają dostęp do danych osobowych, podpisują stosowne umowy lub oświadczenia o zachowaniu poufności (Załącznik 2) i stosowaniu odpowiednich środków bezpieczeństwa.

§8

Administrator może powołać Inspektora Ochrony Danych (IOD), który monitoruje przestrzeganie przepisów, prowadzi kontrole, opiniuje umowy i procedury oraz pełni funkcję punktu kontaktowego z Urządem Ochrony Danych Osobowych (UODO). Jeżeli Zarząd powoła IOD, będzie to osoba posiadająca odpowiednie kwalifikacje i doświadczenie w zakresie ochrony danych osobowych

IOD ma prawo:

  1. uczestniczyć w planowaniu projektów,
  2. wydawać zalecenia w zakresie bezpieczeństwa,
  3. przeprowadzać audyty,
  4. wstępować do pomieszczeń, w których przetwarzane są dane.

§9

Administrator informuje, że nie stosuje profilowania w rozumieniu art. 4 pkt 4 RODO, tj. zautomatyzowanego przetwarzania danych osobowych mającego na celu ocenę określonych aspektów osoby fizycznej, w szczególności dotyczących jej zachowań, preferencji, zainteresowań, wiarygodności, sytuacji ekonomicznej, zdrowia lub lokalizacji. W przypadku wprowadzenia profilowania, osoby, których dane dotyczą, zostaną o tym poinformowane z wyprzedzeniem, a profilowanie będzie realizowane wyłącznie na podstawie obowiązujących przepisów prawa oraz z poszanowaniem praw osób fizycznych.

UPRAWNIENIA OSÓB, KTÓRYCH DANE DOTYCZĄ

§1

Każda osoba, której dane są przetwarzane, ma prawo do:

  1. dostępu do swoich danych,
  2. sprostowania,
  3. usunięcia (prawo do bycia zapomnianym),
  4. ograniczenia przetwarzania,
  5. wniesienia sprzeciwu wobec przetwarzania,
  6. przenoszenia danych,
  7. wycofać zgodę na udostępnianie danych innym uczestnikom projektów,
  8. żądać wglądu do ewidencji udostępnienia swoich danych,
  9. wniesienia skargi do organu nadzorczego, którym jest UODO.

§2

Prawo do wycofania zgody na przetwarzanie danych osobowych można zrealizować w każdym czasie. Wycofanie zgody nie wpływa na legalność przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

§3

Wniosek o realizację praw należy składać na adres mailowy: stowarzyszenienaprzod@gmail.com lub pisemnie na adres siedziby Stowarzyszenia. Wnioski osób, których dane dotyczą, są realizowane wyłącznie po zweryfikowaniu tożsamości wnioskodawcy, w celu zapewnienia, że dane nie zostaną udostępnione osobom nieuprawnionym.

§4

Administrator zapewnia, że każda osoba, której dane osobowe są zbierane, zostanie poinformowana o przetwarzaniu jej danych w sposób jasny, zrozumiały i łatwo dostępny. Informacje te przekazywane są przede wszystkim poprzez odpowiednie klauzule informacyjne zawarte w formularzach zgłoszeniowych, umowach lub na stronie internetowej Stowarzyszenia.

W informacji tej zawarte są m.in.: cele i podstawy prawne przetwarzania danych, prawa osoby, której dane dotyczą, okres przechowywania danych, dane kontaktowe Administratora oraz dane Inspektora Ochrony Danych, jeśli został wyznaczony.

Klauzula informacyjna, którą otrzymuje każda osoba, której dane dotyczą, stanowi Załącznik 3 do niniejszej Polityki. Formularz zgody na przetwarzanie danych osobowych stanowi Załącznik 4.

§5

Administrator zapewnia, że wnioski osób, których dane dotyczą, są rozpatrywane niezwłocznie, nie później niż w ciągu 30 dni, a w przypadku konieczności wydłużenia terminu – osoba zostaje poinformowana o przyczynach opóźnienia.

OBSZAR PRZETWARZANIA DANYCH

§1

Dane przetwarzane są w siedzibie Stowarzyszenia oraz przez upoważnione osoby działające zdalnie, z zapewnieniem odpowiedniego poziomu zabezpieczeń technicznych, m. in.:

  1. zabezpieczenia fizyczne (zamknięte szafy, pomieszczenia),
  2. zabezpieczenia elektroniczne (hasła, szyfrowanie, backup),
  3. szkolenia dla osób przetwarzających dane,
  4. zasady korzystania z poczty elektronicznej i przechowywania danych.

§2

Dane mogą być przetwarzane w systemach chmurowych, pod warunkiem że dostawca gwarantuje spełnienie wymogów RODO, w tym przechowywanie danych na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym (EOG) lub w państwach zapewniających odpowiedni poziom ochrony.

§3

IOD prowadzi wykaz budynków, pomieszczeń oraz części pomieszczeń, w których przetwarzane są dane osobowe, a także wykaz systemów informatycznych i przepływów danych między nimi.

NARUSZENIA OCHRONY DANYCH OSOBOWYCH

§1

W przypadku naruszenia ochrony danych osobowych Administrator niezwłocznie, nie później niż w ciągu 72 godzin od wykrycia naruszenia, zgłasza incydent do UODO, chyba że naruszenie nie niesie ryzyka naruszenia praw i wolności osób, których dane dotyczą.

§2

W przypadku naruszenia ochrony danych osobowych Administrator:

  1. dokumentuje każde naruszenie w wewnętrznym rejestrze incydentów,
  2. ocenia ryzyko naruszenia praw i wolności osób fizycznych,
  3. podejmuje działania naprawcze i prewencyjne,
  4. w razie konieczności informuje osoby, których dane dotyczą, o naruszeniu, wskazując jego charakter, możliwe konsekwencje i podjęte środki zaradcze.
PRZECHOWYWANIE I USUWANIE DANYCH

§1

Dane są przechowywane przez okres:

  1. trwania działań projektowych lub usługowych,
  2. wymagany przepisami prawa (np. 5 lat dla dokumentacji finansowej),
  3. do momentu wycofania zgody (jeśli dotyczy).

§2

Po ustaniu celu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane. Administrator prowadzi ewidencję usunięć danych.

Za prowadzenie ewidencji usunięć danych osobowych odpowiada IOD lub osoba wyznaczona przez Zarząd Główny Stowarzyszenia.

POSTANOWIENIA KOŃCOWE

§1

Polityka wchodzi w życie z dniem jej przyjęcia przez Zarząd i może być aktualizowana w razie zmian przepisów prawa lub praktyki organizacyjnej.

§2

W sprawach nieuregulowanych stosuje się przepisy RODO i ustawy o ochronie danych osobowych.

§3

Administrator zobowiązuje się do regularnego przeglądu Polityki co najmniej raz na 2 lata lub częściej w razie zmian prawnych.

§4

W sprawach związanych z danymi osobowymi prosimy o kontakt z Zarządem Stowarzyszenia: stowarzyszenienaprzod@gmail.com.