Dlaczego papiery przy wydarzeniu charytatywnym to nie „zło konieczne”
Ryzyka prawne i wizerunkowe, gdy dokumenty kuleją
Organizowanie balu charytatywnego, licytacji czy pikniku dobroczynnego kojarzy się z pomaganiem, a nie z papierologią. Niestety urzędy, sądy i organy ochrony danych nie mają taryfy ulgowej tylko dlatego, że robisz coś „w dobrej wierze”. Brak porządku w zgodach, umowach i dokumentach RODO może skończyć się:
skargą uczestnika lub darczyńcy do UODO, gdy poczuje się „obfotografowany” bez zgody albo zasypany mailingiem, na który nie wyraził zgody,
konfliktem ze sponsorem, gdy nie ma jasno opisanych świadczeń wzajemnych – np. logotyp nie pojawił się tam, gdzie sponsor oczekiwał, a Ty nie masz się do czego odwołać,
roszczeniami finansowymi, gdy ktoś zażąda zwrotu opłaty za bilet, a w regulaminie nie ma słowa o zasadach rezygnacji,
karą administracyjną za naruszenie przepisów RODO – np. brak klauzul informacyjnych, zbyt długie przechowywanie danych, brak podstawy do przetwarzania.
Do tego dochodzi wymiar wizerunkowy: wydarzenia dobroczynne działają na emocjach, a informacja, że „fundacja nielegalnie używa zdjęć dzieci” lub „przepuściła dane darczyńców” rozchodzi się błyskawicznie. Raz nadszarpnięte zaufanie sponsorów i uczestników odzyskuje się bardzo długo.
Specyfika eventów dobroczynnych: idealne warunki na bałagan
Wydarzenia charytatywne mają jeden wspólny mianownik: presję czasu i ludzi pracujących z zaangażowania, a nie z etatu. To często oznacza:
wolontariuszy „z łapanki”, którzy nie przeszli szkolenia z RODO, a jednak zbierają dane uczestników czy obsługują zapisy,
sponsorów i partnerów chcących „dostęp do bazy mailingowej uczestników” w zamian za wsparcie – a to już prosty przepis na naruszenie przepisów,
agencje eventowe, fotografów, firmy cateringowe – każdy przetwarza jakieś dane, ale nikt nie wie, kto jest administratorem, kto procesorem, na jakiej podstawie dane są im przekazywane,
ostre terminy: „regulamin dorobimy”, „zgody dopiszemy jutro” – a potem nikt do tego nie wraca.
Przy takim miksie bardzo łatwo o sytuacje typu: dwie różne wersje regulaminu krążą w obiegu, wolontariusz dokonuje losowania nagród, ale nie ma żadnych danych o zwycięzcach, poza kartką z imionami, która ginie po godzinie.
Co trzeba mieć „na papierze”, a co wystarczy w procedurach
Nie wszystko wymaga osobnego dokumentu z pieczątką. Warto rozróżnić:
Dokumenty formalne i umowy – wymagające podpisu, najczęściej w formie pisemnej lub elektronicznej (kwalifikowany podpis, ePUAP, platforma typu e-sign):
umowy ze sponsorami i partnerami,
umowy z agencją eventową, fotografem, firmą nagłośnieniową, cateringiem,
umowy z wolontariuszami (lub porozumienia o wolontariacie),
regulamin wydarzenia (przy dużych eventach – zatwierdzony np. przez zarząd fundacji),
umowy powierzenia przetwarzania danych osobowych (RODO),
dokumenty przy zbiórce publicznej lub loterii fantowej (jeśli występują).
Procedury i instrukcje – mogą mieć dowolną formę (wewnętrzny pdf, prezentacja, mail do wolontariuszy):
procedura rejestracji uczestników i wydawania identyfikatorów,
instrukcja, co wolno zbierać na listach obecności i jak je zabezpieczyć,
procedura reagowania na żądania RODO (np. prośba o usunięcie danych po wydarzeniu),
zasady robienia zdjęć i nagrań przez fotografów oraz wolontariuszy.
Dobrze przygotowane procedury są tańsze i szybsze niż każdorazowe „pisanie zgód od zera”. Przy większej liczbie wydarzeń buduje się w ten sposób powtarzalny, bezpieczny schemat działania.
Krótki przykład: brak zgody na wizerunek a galeria zdjęć z balu
Wyobraźmy sobie bal charytatywny, na którym fotograf robi piękne zdjęcia uczestników i licytacji. Po wydarzeniu organizator publikuje całą galerię na Facebooku i stronie www. Po kilku dniach zgłasza się uczestniczka: na zdjęciu widać, że intensywnie licytuje drogą rzecz, jest podpisana imieniem i nazwiskiem. Prosi o usunięcie zdjęcia, bo nie wyrażała zgody na publikację. Twierdzi też, że w formularzu rejestracji nie było żadnej informacji o zdjęciach.
Bez dobrze przygotowanej klauzuli informacyjnej i zgody na wizerunek organizator jest w trudnej sytuacji. Musi usunąć zdjęcie, przepraszać i liczyć, że sprawa nie urośnie. Gdyby przy zakupie biletu uczestniczka:
miała jasną informację, że wydarzenie jest fotografowane,
mogła zaznaczyć odrębną zgodę na publikację wizerunku,
a na miejscu istniałoby dyskretne oznaczenie informujące o fotografowaniu,
ryzyko konfliktu byłoby znacznie mniejsze, a organizator mógłby powołać się na konkretne zgody i podstawy prawne.
Jaka forma prawna organizatora i kto tak naprawdę „odpowiada”
Fundacja, stowarzyszenie, szkoła, firma – różnice w odpowiedzialności
Forma prawna organizatora ma wpływ na to, kto podpisuje umowy, kto jest administratorem danych i jak wygląda obieg dokumentów. Najczęstsze przypadki:
Fundacja – działa na podstawie statutu, ma zarząd, często numer KRS. Umowy podpisują osoby upoważnione zgodnie z zasadami reprezentacji (np. dwóch członków zarządu). Administrator danych: fundacja jako podmiot. Wymagane: polityki RODO, rejestry czynności, umowy powierzenia z procesorami.
Stowarzyszenie – podobnie jak fundacja, ale z członkami. Często większa „społecznościowość” i mniej profesjonalne zaplecze prawne, co skutkuje większym ryzykiem improwizacji przy dokumentach. Administrator danych: stowarzyszenie.
Szkoła, przedszkole, uczelnia – organizuje np. bal charytatywny Rady Rodziców. Administrator danych: najczęściej szkoła (np. jednostka samorządu terytorialnego lub uczelnia publiczna). W takich podmiotach zwykle jest inspektor ochrony danych, z którym trzeba skonsultować formularze, zgody i regulamin.
Firma – przedsiębiorca organizujący wydarzenie i przeznaczający wpływy na cel społeczny. Może działać samodzielnie lub we współpracy z fundacją. Administrator danych: firma; jeśli dane trafiają także do fundacji – konieczne ustalenie relacji (współadministracja czy powierzenie).
Grupa nieformalna – kilka osób „z serca” organizuje piknik. Jeśli zbierają środki, zawierają umowy, przetwarzają dane – w praktyce odpowiedzialność spada na konkretnych ludzi albo na podmiot, który „firmuje” wydarzenie (np. lokalna parafia, dom kultury).
Im bardziej sformalizowana struktura, tym więcej gotowych wzorów i procedur można wykorzystać. W małych inicjatywach wszystko spoczywa na organizatorach – tam tym bardziej przydaje się prosty, przejrzysty zestaw dokumentów.
Kto jest administratorem danych, a kto tylko pomaga
W kontekście RODO kluczowe jest rozróżnienie:
Administrator danych osobowych (ADO) – podmiot, który decyduje o celach i sposobach przetwarzania danych. W praktyce: fundacja, stowarzyszenie, szkoła czy firma będąca głównym organizatorem.
Podmiot przetwarzający (procesor) – działa w imieniu administratora, na podstawie umowy powierzenia, np.:
agencja eventowa obsługująca rejestracje online,
firma obsługująca płatności za bilety,
dostawca systemu mailingowego,
fotograf przechowujący zdjęcia uczestników w swojej infrastrukturze.
Odbiorca danych – np. sponsor otrzymujący zbiorcze raporty (bez danych osobowych) albo – w pewnych przypadkach – listę uczestników, jeśli jest to prawidłowo uregulowane.
Dobrą praktyką jest sporządzenie krótkiej notatki (choćby w Excelu), gdzie przy każdym podmiocie zapisujesz:
jakie dane od niego zbierasz lub mu przekazujesz,
w jakim celu i na jakiej podstawie,
czy konieczna jest umowa powierzenia danych.
Wewnętrzny podział ról i odpowiedzialności
Nawet w małej fundacji czy komitecie organizacyjnym przydaje się jasne rozdanie zadań dotyczących dokumentów. Minimalny „rozkład jazdy”:
Koordynator ds. formalności – pilnuje umów, regulaminu, zgłoszeń zbiórki, kontaktu z prawnikiem lub IOD.
Osoba odpowiedzialna za RODO (czasem jest to IOD, czasem po prostu „najbardziej ogarnięta osoba”):
akceptuje treść klauzul informacyjnych i zgód,
pilnuje, by dane nie były zbierane „dla sportu”,
weryfikuje umowy powierzenia.
Koordynator wolontariuszy – przekazuje instrukcje, jakie dane mogą zbierać i w jaki sposób, zbiera podpisane porozumienia o wolontariacie.
Osoba ds. sponsorów i partnerów – odpowiada za umowy sponsorskie, zapisy o wykorzystaniu logo, danych i raportowaniu.
Przy większych eventach dobrą praktyką jest krótkie spotkanie planistyczne poświęcone wyłącznie dokumentom: kto co przygotowuje, kto zatwierdza, do kiedy. Taka godzina organizacji potrafi uratować kilkanaście godzin gaszenia pożarów na finiszu.
Dlaczego jasne role ograniczają chaos
Niejasny podział odpowiedzialności generuje typowe sytuacje:
Dwóch członków ekipy niezależnie od siebie „poprawia” regulamin, kończą z dwoma sprzecznymi wersjami na stronie i w komunikacji.
Wolontariusze tworzą swoje własne listy uczestników „na wszelki wypadek”, które potem lądują w nieoznaczonych kartonach.
Agencja eventowa wysyła mailingi do uczestników po wydarzeniu, wierząc, że ma zgodę, ale nikt nie pamięta, co dokładnie było w formularzu zapisów.
Jedna osoba „trzymająca papiery” nie ma być tyranem, tylko punktem odniesienia: tam trafiają wzory, pytania o zgody, tam wracają podpisane umowy. Dzięki temu każdy wie, gdzie szukać aktualnych dokumentów, a decyzje są spójne.
Mapowanie danych i zgód: jakie dane zbierasz przy wydarzeniu
Typowe kategorie osób i danych przy wydarzeniu dobroczynnym
Żeby działać sensownie z RODO, trzeba wiedzieć, czyje dane i w jakim celu zbierasz. Przy balu charytatywnym lub podobnym evencie zwykle pojawiają się:
Uczestnicy / goście – imię, nazwisko, adres e-mail, telefon, czasem adres do faktury lub korespondencji, dane do biletów.
Darczyńcy (przelewy, wpłaty na miejscu) – dane identyfikacyjne z przelewu, czasem NIP i adres do potwierdzeń darowizn.
Licytujący – dane kontaktowe do przekazania wygranych przedmiotów, wystawienia potwierdzenia, umówienia wysyłki.
Wolontariusze – imię, nazwisko, PESEL lub inne dane niezbędne z ustawy o działalności pożytku publicznego, dane kontaktowe, czasem informacje o dyspozycyjności czy zadaniach.
Prelegenci, prowadzący, artyści – dane do umów (nr dokumentu, PESEL, NIP), dane kontaktowe, czasem informacje do materiałów promocyjnych (biogram, zdjęcie).
Sponsorzy i partnerzy – dane osób kontaktowych w firmie, dane do umów (NIP, adres siedziby), logotypy, nazwy marek.
Goście VIP – poszerzony zakres danych z uwagi na wymogi bezpieczeństwa, protokołu, czasem preferencje dietetyczne czy potrzeby związane z niepełnosprawnością.
Obsługa techniczna, podwykonawcy – dane do umów, kontakt, często także dane członków zespołu (wystawcy, barmani itd.).
Dobrze jest wypisać wszystkie te kategorie choćby na jednej kartce, bo każda z nich może wymagać innych dokumentów: innej klauzuli informacyjnej, innej zgody, innej podstawy prawnej.
Dane naprawdę niezbędne a zbierane „z przyzwyczajenia”
Minimalizacja danych w praktyce
Kuszące jest „przy okazji” zebrać jak najwięcej informacji: datę urodzenia, zawód, imiona dzieci, a może jeszcze ulubiony kolor. Problem w tym, że RODO jest zdecydowanie team „mniej znaczy lepiej”. Zasada minimalizacji danych mówi, że przetwarzasz tylko to, co naprawdę jest potrzebne do konkretnego celu.
Przy rejestracji na wydarzenie warto zadać sobie przy każdym polu formularza trzy pytania:
czy bez tej informacji jestem w stanie zrealizować udział w wydarzeniu lub rozliczyć darowiznę,
czy mam jasną podstawę prawną do przetwarzania tego pola,
czy umiałbym w razie kontroli wytłumaczyć, po co te dane były zbierane.
Jeśli na którekolwiek odpowiedź brzmi „nie” albo „eee…”, to pole najczęściej nie powinno się znaleźć w formularzu. Zamiast pytać „z rozpędu” o adres korespondencyjny, możesz rozważyć:
prośbę tylko o e-mail i telefon, jeśli kontakt odbywa się wyłącznie elektronicznie,
odrębne pole na adres – wypełniane wyłącznie, jeśli ktoś prosi o papierowe potwierdzenie darowizny lub fakturę.
Praktyczny trik: zrób wersję „light” formularza (pola obowiązkowe) i wersję „rozszerzoną” (dodatkowe informacje), ale jasno oznacz, które elementy są całkowicie dobrowolne i w jakim celu chcesz je wykorzystać.
Dane wrażliwe i informacje „okołozdrowotne”
Przy wydarzeniach charytatywnych łatwo, często zupełnie niechcący, zahaczyć o szczególne kategorie danych (art. 9 RODO) – np. dane o zdrowiu. Przykłady:
zapisy na bieg charytatywny, gdzie ktoś opisuje swoją kontuzję lub chorobę,
formularz „zgłoś historię podopiecznego”, w którym rodzic opisuje szczegółowo stan zdrowia dziecka,
ankieta preferencji żywieniowych, z której wynika wyznanie (np. dieta koszerna, halal).
Tutaj trzeba zatrzymać się na chwilę dłużej. Dane wrażliwe wymagają mocniejszej podstawy prawnej i dodatkowych zabezpieczeń. Lepiej unikać ich zbierania, jeśli nie są absolutnie niezbędne. Zamiast szczegółowego opisu stanu zdrowia na etapie zapisów wystarczy często:
pole „Czy masz przeciwwskazania zdrowotne do udziału w wydarzeniu?” z odpowiedzią tak/nie, bez szczegółów,
informacja, że w razie potrzeby uczestnik skonsultuje się z lekarzem – bez przekazywania dokumentacji organizatorowi.
Jeśli działalność organizacji opiera się na historii podopiecznych (np. zbiórki medyczne), potrzebne są osobne procedury: zgody, klauzule informacyjne, szyfrowanie, ograniczony dostęp. To już nie jest „przy okazji wydarzenia”, ale pełnoprawny proces przetwarzania, który warto omówić z prawnikiem lub IOD.
Gdzie dane faktycznie „lądują” i kto ma do nich dostęp
Mapowanie danych to nie tylko lista kategorii osób, ale też trasa, jaką dane pokonują. Typowy scenariusz wygląda tak:
ktoś z ekipy eksportuje listę do Excela, drukuje listy obecności,
na wydarzeniu listy krążą między recepcją a koordynatorami,
po wydarzeniu ktoś wrzuca wszystko do kartonu „do archiwum” (czyli na zawsze).
W idealnej wersji wiesz, na którym etapie:
kto ma dostęp do list (imiona, maile, numery telefonów),
jak te listy są zabezpieczone (hasło, szafka zamykana na klucz, kontrola dostępu w systemie),
kiedy nastąpi usunięcie lub anonimizacja danych (np. po zakończeniu rozliczeń, po upływie przedawnienia roszczeń).
Prosta notatka typu „Dane uczestników: system X (dostęp: A, B), eksport do Excela (dostęp: A), wydruki w dniu wydarzenia (odpowiedzialny: koordynator recepcji, zniszczenie wydruków do 7 dni po evencie)” rozwiązuje wiele problemów. W razie kontroli nie trzeba wtedy nerwowo szukać, kto „widział te listy”.
Jak ograniczyć papierologię bez rezygnacji z bezpieczeństwa
Celem nie jest zasypanie się dokumentami, tylko stworzenie takiego zestawu, który jest realnie używany. Kilka usprawnień robi sporą różnicę:
Jeden centralny formularz rejestracyjny – zamiast osobnych list dla zapisów, newslettera i darczyńców, zrób jedno miejsce, w którym uczestnik wybiera, na co się zapisuje (z jasnym rozbiciem zgód).
Domyślnie brak marketingu – jeśli chcesz budować bazę do newslettera, zrób z tego odrębny cel, z wyraźnie oddzielną zgodą. Ratuje to reputację i nerwy.
Elektroniczne podpisy lub potwierdzenia – wolontariusze i podwykonawcy mogą podpisywać porozumienia i umowy online (np. profile zaufane, platformy do podpisu), zamiast drukować kilkadziesiąt kartek na każdy event.
Szablony – jedna, porządnie przemyślana klauzula informacyjna dla uczestników, jedna dla darczyńców, jedna dla wolontariuszy. Zmienia się tylko nazwa wydarzenia i daty.
Im prostsze procedury, tym mniejsze ryzyko, że ktoś „dla świętego spokoju” zrobi coś po swojemu, omijając wypracowane rozwiązania.
Źródło: Pexels | Autor: RDNE Stock project
Regulamin wydarzenia charytatywnego – fundament, od którego wychodzi reszta
Dlaczego regulamin to nie tylko „papier do odhaczenia”
Regulamin dobrze opisany oszczędza organizatorowi setek drobnych decyzji na gorąco: kto może wejść, kiedy oddać pieniądze z licytacji, co w sytuacji odwołania imprezy, co z fotografowaniem. Uczestnik zaś wie, na co się pisze. Regulamin staje się więc punktem odniesienia przy sporach, reklamacjach i wątpliwościach.
Przy wydarzeniu charytatywnym regulamin ma jeszcze jedną rolę: porządkuje przepływ pieniędzy. Wprost wskazuje, kto jest organizatorem, kto beneficjentem, jak liczone są koszty organizacji i co dzieje się ze środkami w razie np. odwołania imprezy. Bez tego rośnie ryzyko nieporozumień z darczyńcami i kontrolującymi.
Kluczowe elementy regulaminu z perspektywy prawa i RODO
Zakres regulaminu zależy od rodzaju wydarzenia, ale kilka punktów pojawia się niemal zawsze:
Identyfikacja organizatora – pełna nazwa, adres, numery rejestrowe (KRS/NIP/REGON), dane kontaktowe. Jeśli są współorganizatorzy – warto wskazać ich role.
Opis wydarzenia – data, miejsce, charakter (np. bal charytatywny, piknik rodzinny, koncert), grupa docelowa.
Warunki uczestnictwa – kto może wziąć udział (np. osoby pełnoletnie, dzieci z opiekunem), zasady rejestracji, formy płatności (bilety, darowizny, licytacje).
Informacje o zbieraniu i przeznaczeniu środków – czy jest to zbiórka publiczna, numer zgłoszenia, na jaki cel idą środki, kto jest dysponentem, jak będą rozliczone koszty.
Prawa i obowiązki uczestników – zasady zachowania, odpowiedzialność za szkody, przedmioty zakazane, możliwość usunięcia z wydarzenia.
Odpowiedzialność organizatora – ograniczenia odpowiedzialności w granicach prawa, zasady odwołania lub przerwania wydarzenia.
Ochrona danych osobowych – odesłanie do klauzuli informacyjnej, wskazanie administratora, głównych celów przetwarzania (np. obsługa udziału, rozliczenia, obowiązki podatkowe).
Zdjęcia i nagrania – informacja o dokumentowaniu wydarzenia, podstawach prawnych, możliwościach sprzeciwu.
Reklamacje i kontakt – procedura zgłaszania uwag, termin odpowiedzi, dane kontaktowe.
Postanowienia końcowe – np. informacja, gdzie publikowane są zmiany regulaminu i od kiedy obowiązują.
Relacja między regulaminem a klauzulami i zgodami
Regulamin nie zastępuje klauzul RODO, ale powinien z nimi grać do jednej bramki. Przykładowo:
regulamin informuje, że wydarzenie jest dokumentowane i może być relacjonowane w mediach społecznościowych,
klauzula informacyjna opisuje podstawy prawne i prawa osób, których dane są przetwarzane,
formularz rejestracyjny zawiera odrębne zgody, jeśli chcesz wyjść poza niezbędne przetwarzanie (np. wysyłka newslettera, publikacja wizerunku w materiałach promocyjnych po evencie).
Dobrze jest spójnie nazwać te dokumenty: jeśli w regulaminie odwołujesz się do „Formularza zgłoszeniowego” i „Klauzuli informacyjnej dla uczestników”, to używaj tych samych tytułów w samych dokumentach. Takie drobiazgi robią dużą różnicę, gdy ktoś próbuje później „rozgryźć”, co właściwie podpisał.
Wersja online i wersja „na miejscu”
Regulamin najczęściej funkcjonuje w dwóch odsłonach:
online – na stronie wydarzenia, przy formularzu rejestracyjnym,
offline – wydrukowany egzemplarz w recepcji, czasem skrócona wersja na plakatach (kluczowe zasady bezpieczeństwa, informacje o fotografowaniu).
Przy rejestracji internetowej standardem jest checkbox „Zapoznałem się z regulaminem i go akceptuję” wraz z linkiem do treści regulaminu. Nie ma potrzeby kazać uczestnikowi podpisywać osobnego PDF-a – jeśli poprawnie archiwizujesz logi systemu rejestracyjnego (data, godzina, adres e-mail, IP), to masz dowód akceptacji.
Na miejscu warto zadbać, aby recepcja wiedziała, gdzie leży wydruk regulaminu i co odpowiedzieć, jeśli ktoś poprosi o wgląd. To minimalizuje sytuacje typu: „Ktoś coś mówił, ale nie wiem, gdzie to jest, proszę pani…”. Jeden segregator z dokumentami przy recepcji potrafi zdziałać cuda.
Zgody RODO i klauzule informacyjne dla uczestników oraz darczyńców
Klauzula informacyjna – co musi się w niej znaleźć
Klauzula informacyjna to ten fragment tekstu, który większość osób przewija, ale dla organizatora jest kluczową „tarczą ochronną”. Nie musi być napisana prawniczym językiem, za to musi zawierać elementy z art. 13 lub 14 RODO, w szczególności:
kto jest administratorem danych (nazwa, adres, kontakt),
jeśli jest – kontakt do inspektora ochrony danych,
cele i podstawy prawne przetwarzania (np. realizacja umowy udziału w wydarzeniu, obowiązki prawne, prawnie uzasadniony interes, zgoda),
kategorie odbiorców danych (np. firmy obsługujące płatności, dostawcy systemów IT, agencja eventowa),
informacje o przekazywaniu danych poza EOG (jeśli dotyczy),
okres przechowywania danych lub kryteria jego ustalania,
prawa osoby, której dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie, skarga do PUODO),
informację o obowiązku/ dobrowolności podania danych i konsekwencjach niepodania,
informację o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu (jeśli występuje).
Dla przejrzystości lepiej podzielić klauzulę na sekcje z krótkimi nagłówkami („Kto przetwarza Twoje dane?”, „Po co nam Twoje dane?”, „Jakie masz prawa?”), niż pisać długi blok tekstu na pół strony. Ludzie i tak rzadko czytają całość, ale urzędnicy i prawnicy czytają bardzo uważnie.
Osobne klauzule dla różnych grup
Inną klauzulę dostanie uczestnik wydarzenia, inną wolontariusz, inną sponsor. Nie chodzi o całkowicie nowe teksty, ale o dopasowanie celów i podstaw prawnych. Przykładowo:
Uczestnik – głównym celem jest obsługa udziału (rejestracja, płatność, wejście na wydarzenie), rozliczenia podatkowe, ewentualne rozpatrywanie reklamacji, komunikacja organizacyjna.
Darczyńca – oprócz obsługi udziału istotne są przepisy podatkowe (potwierdzenia darowizn), obowiązki rachunkowe.
Sponsor/partner – zawarcie i realizacja umowy, kontakt biznesowy, często prawnie uzasadniony interes administratora polegający na dokumentowaniu współpracy.
W praktyce możesz przygotować jeden „szkielet” klauzuli z powtarzalnymi elementami (administrator, IOD, prawa), a dla każdej grupy zmienić sekcję „Po co nam Twoje dane?” i „Komu możemy je przekazać?”.
Kiedy potrzebujesz zgody, a kiedy wystarczy inna podstawa prawna
Przy wydarzeniach charytatywnych zgoda bywa nadużywana. Tymczasem w wielu sytuacjach wygodniej (i bezpieczniej) oprzeć przetwarzanie na innych podstawach z art. 6 RODO. Efekt uboczny: mniej checkboxów, mniejsze zamieszanie.
Przykładowo, zgody nie potrzebujesz, gdy:
przetwarzasz dane uczestnika, żeby zrealizować umowę udziału w wydarzeniu (rejestracja, płatność, wejście),
musisz rozliczyć darowizny i wystawić potwierdzenia na potrzeby podatkowe,
prowadzisz podstawową komunikację organizacyjną: zmiana godziny, informacja o parkingu, odwołanie imprezy, zmiana programu.
Zgoda przydaje się natomiast tam, gdzie:
wychodzisz poza niezbędne minimum – np. chcesz wysyłać newsletter o kolejnych akcjach,
planujesz wykorzystanie wizerunku w sposób wykraczający poza „zwykłą relację” z wydarzenia (np. stała kampania promocyjna fundacji),
zbierasz dodatkowe dane wrażliwe, które nie są wymagane żadnym przepisem (np. informacje o stanie zdrowia, diecie, przekonaniach religijnych).
Jeśli wszystko opierzesz na zgodzie, uczestnik teoretycznie może ją cofnąć w każdej chwili – również w kwestiach kluczowych dla samego udziału. Dlatego lepiej wyraźnie oddzielić to, co „z umowy” i przepisów, od tego, co „z dobrej woli” uczestnika.
Jak formułować zgody, żeby miały sens (i się obroniły)
Zgoda zgodna z RODO musi być dobrowolna, konkretna, świadoma i jednoznaczna. Brzmi poważnie, ale w praktyce sprowadza się do kilku prostych zasad:
Osobne checkboxy – nie łączysz zgody marketingowej z zgodą na wizerunek w jednym polu. Każdy cel – osobny checkbox.
Brak domyślnego zaznaczenia – koniec z „ptaszkami z automatu”. Uczestnik sam zaznacza zgodę.
Prosty język – „Wyrażam zgodę na otrzymywanie drogą e-mailową informacji o przyszłych wydarzeniach charytatywnych organizatora” zamiast „Wyrażam zgodę na przetwarzanie moich danych w celach marketingowych w rozumieniu…”.
Łatwe wycofanie – jasna informacja, jak cofnąć zgodę (np. link rezygnacji w stopce maila, dedykowany adres e-mail).
Przy formularzu rejestracyjnym online dobrze sprawdza się układ:
jeden checkbox obowiązkowy: akceptacja regulaminu,
osobne, dobrowolne checkboxy: zgoda na newsletter, zgoda na publikację wizerunku w materiałach promocyjnych, zgoda na telefoniczny kontakt w sprawie przyszłych akcji.
Na papierowych kartach zgłoszeniowych unikaj małych kratek przyklejonych do trzech linijek tekstu. Lepiej rozbić zgody na czytelne punkty – w przeciwnym razie przy kontroli trudno będzie wykazać, że zgoda była świadoma.
Jak nie „przegrzać” formularzy – minimalizacja danych w praktyce
Im mniej pól w formularzu, tym większa szansa, że ludzie go wypełnią i tym mniejsze ryzyko pytań ze strony nadzoru. Zadaj sobie trzy pytania przy każdym polu:
Czy ta informacja jest niezbędna, żeby dopuścić kogoś do udziału / przyjąć darowiznę?
Czy jakiś przepis wprost wymaga, żeby to mieć?
Czy bez tego pola naprawdę nie dam rady?
Jeśli odpowiedź brzmi „nie” – to pole jest dobrym kandydatem do usunięcia albo oznaczenia jako dobrowolne (i wyraźnie tak opisane).
Przykład z praktyki: przy biegu charytatywnym organizatorzy często pytają o PESEL „na wszelki wypadek”. Tymczasem najczęściej legalnie wystarczy im: imię, nazwisko, e-mail, ewentualnie rok urodzenia (kategorie wiekowe), a PESEL pojawia się wyłącznie tam, gdzie wymaga tego ubezpieczyciel lub przepisy o ubezpieczeniach. I to w odrębnym, dobrze opisanym formularzu.
Darowizny anonimowe a obowiązki dokumentacyjne
Część darczyńców chce pozostać anonimowa – z powodów osobistych albo po prostu z niechęci do podawania danych. RODO tego nie zabrania. Problem pojawia się dopiero tam, gdzie prawo wymaga identyfikacji, np.:
wystawienie zaświadczenia o darowiźnie dla celów podatkowych,
transakcje o wyższej wartości, które mogą podlegać przepisom o przeciwdziałaniu praniu pieniędzy (w niektórych typach organizacji).
Rozwiązaniem jest jasna komunikacja przy zbiórce: jeśli ktoś wrzuca gotówkę do puszki bez danych – pozostaje anonimowy, ale nie otrzyma potwierdzenia darowizny na konkretne nazwisko. W przypadku przelewów bankowych dane darczyńcy i tak trafiają do Was jako część rozliczeń księgowych, choć nie musicie ich od razu „przerabiać” na bazę mailingową.
Zgody na wykorzystanie wizerunku: zdjęcia, relacje wideo, social media
Wizerunek a dane osobowe – co się tak naprawdę chroni
Wizerunek, jeśli pozwala zidentyfikować konkretną osobę (a na wydarzeniach zwykle pozwala), jest jednocześnie danymi osobowymi w rozumieniu RODO oraz dobrem osobistym chronionym przez prawo cywilne. To oznacza dwa porządki, które trzeba pogodzić:
RODO – czyli na jakiej podstawie prawnej przetwarzasz zdjęcia i nagrania,
kodeks cywilny i ustawa o prawie autorskim – kiedy potrzebujesz „zgody na rozpowszechnianie wizerunku”.
Nie każda sytuacja wymaga pisemnej zgody. Jeśli ktoś jest elementem większej całości, np. tłumu na koncercie albo kolejki do namiotu z napojami, to jego wizerunek zwykle nie wymaga indywidualnej zgody – choć wciąż podlega zasadom RODO (informacja, podstawa prawna, możliwość sprzeciwu).
Podstawy prawne dla zdjęć i nagrań z wydarzenia
Przy dokumentowaniu wydarzenia możesz oprzeć się na kilku podstawach:
prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) – bieżące dokumentowanie wydarzenia, relacje w mediach społecznościowych, archiwum organizatora. Warunek: uczestnicy są o tym poinformowani, a Ty respektujesz sprzeciw, jeśli ktoś nie chce być fotografowany „z bliska”.
zgoda – zwłaszcza przy wykorzystywaniu wizerunku do celów wykraczających poza relację z wydarzenia: długotrwałe kampanie promocyjne, billboardy, materiały reklamowe partnerów.
wypełnienie obowiązku prawnego – np. jeśli dokumentujesz działania projektu finansowanego ze środków publicznych, ale nawet wtedy nie oznacza to „pełnej dowolności” w oznaczaniu ludzi na Facebooku.
Praktyczny podział bywa taki:
„Zwykłe” relacje – ogólne zdjęcia, krótkie wideo z wydarzenia, publikowane w social mediach organizatora, jako prawnie uzasadniony interes.
Materiały promocyjne – indywidualnie wybrane zdjęcia uczestników, wykorzystywane później na plakatach, stronie głównej, w kampaniach – tu przydaje się oddzielna zgoda na wizerunek.
Jak konstruować zgodę na wizerunek
Zgoda na wizerunek powinna być możliwie precyzyjna. Uczestnik ma wiedzieć:
kto będzie dysponował jego wizerunkiem (konkretna organizacja – nie „wszyscy partnerzy świata”),
w jakim celu – np. promocja działalności statutowej fundacji, informowanie o kolejnych edycjach wydarzenia, sprawozdawczość wobec darczyńców,
w jakiej formie – strona WWW, social media organizatora, drukowane materiały promocyjne, raporty roczne,
jak długo – np. „do czasu odwołania zgody, jednak nie dłużej niż X lat od dnia wydarzenia”.
Przykładowa treść na formularz online może wyglądać tak:
„Wyrażam zgodę na nieodpłatne utrwalanie i rozpowszechnianie mojego wizerunku utrwalonego podczas [nazwa wydarzenia] przez [nazwa organizatora] w materiałach informacyjnych i promujących działalność statutową organizatora (w szczególności na stronie internetowej oraz profilach w mediach społecznościowych) przez okres do 5 lat od dnia wydarzenia. Zgodę mogę w każdej chwili odwołać, kontaktując się pod adresem: …”
Do tego w klauzuli informacyjnej Ważne: podstawą przetwarzania w zakresie wizerunku wykorzystywanego promocyjnie jest właśnie zgoda, którą można cofnąć.
Dzieci, młodzież i wizerunek – szczególne zasady
Przy wydarzeniach charytatywnych często pojawiają się dzieci: jako uczestnicy, beneficjenci, artyści. Tutaj poprzeczka jest wyżej. Co do zasady zgodę na wykorzystanie wizerunku dziecka udziela jego przedstawiciel ustawowy (najczęściej rodzic).
Stąd przy zapisach na wydarzenie szkolne lub rodzinne przydaje się:
oddzielny formularz dla opiekunów prawnych,
jasne wskazanie, czy zgoda na wizerunek dotyczy wyłącznie samego wydarzenia, czy również przyszłych akcji promocyjnych.
Dobrym zwyczajem jest stosowanie dwóch opcji:
zgoda na ogólne relacje z wydarzenia (np. grupowe zdjęcia, krótkie filmy z występów),
osobna zgoda na indywidualne wykorzystanie wizerunku dziecka w materiałach promocyjnych (np. plakat kolejnej edycji z dużym zdjęciem konkretnego dziecka).
Daje to rodzicom realny wybór. I zmniejsza napięcie, gdy ktoś po roku zobaczy twarz swojego dziecka na dużym banerze na rynku.
Informowanie o fotografowaniu na miejscu
Same zgody w formularzach to za mało. Uczestnik, który przychodzi „z ulicy” (np. na otwarty piknik) też ma prawo wiedzieć, że wydarzenie jest dokumentowane. Tu sprawdzają się:
czytelne oznaczenia przy wejściu – tablica lub plakat z krótką informacją, że na terenie wydarzenia wykonywane są zdjęcia i nagrania,
odwołanie do pełnej informacji na stronie WWW albo w recepcji („Szczegóły dotyczące przetwarzania danych i wizerunku znajdują się w regulaminie oraz klauzuli informacyjnej dostępnej w punkcie obsługi uczestników”).
Można też wprowadzić prostą procedurę dla osób, które nie chcą być fotografowane:
specjalne opaski lub identyfikatory w innym kolorze,
instrukcje dla fotografa, aby omijał te osoby lub rozmywał ich wizerunek na ujęciach.
Czy to zawsze wygodne? Nie. Ale kiedy ktoś po evencie napisze: „Proszę usunąć wszystkie zdjęcia z moim udziałem”, łatwiej udowodnić, że mieliście sensowny system, a nie „jakoś to będzie”.
Social media, oznaczanie osób i udostępnianie zdjęć partnerom
Media społecznościowe kuszą, żeby wrzucać dużo, szybko i wszędzie. Z punktu widzenia prawa:
oznaczanie konkretnych osób (tagowanie) na zdjęciach powinno mieć solidne uzasadnienie – idealnie, gdy masz ich świadomą zgodę,
udostępnianie zdjęć partnerom i sponsorom to już osobny cel przetwarzania – dobrze przewidzieć go w zgodzie na wizerunek lub uregulować w umowie sponsorskiej,
„przeklejanie” całych galerii partnerowi bez kontroli, jak je dalej wykorzysta, może skończyć się reklamacjami po stronie uczestników.
Jeśli sponsor chce korzystać ze zdjęć z Waszego wydarzenia, zadbaj o:
umowne ograniczenie celu – np. „wyłącznie w komunikacji dotyczącej współpracy przy wydarzeniu X”,
zastrzeżenie, że wizerunek uczestników nie może być wykorzystywany w ich własnych, niezależnych kampaniach komercyjnych bez dodatkowych zgód,
procedurę reagowania na żądania usunięcia wizerunku (np. ustalony adres e-mail, termin reakcji).
W praktyce najbardziej problematyczne bywa „życzliwe” oznaczanie uczestników na Facebooku lub Instagramie – zwłaszcza wrażliwych grup (np. beneficjentów pomocy). W takich sytuacjach bezpieczniej jest używać ujęć, na których osób nie da się łatwo zidentyfikować, lub w ogóle zrezygnować z tagowania.
Najczęściej zadawane pytania (FAQ)
Jakie dokumenty są absolutnym „must have” przed wydarzeniem charytatywnym?
Przy większym wydarzeniu charytatywnym podstawowy zestaw to: regulamin wydarzenia, umowy ze sponsorami i partnerami, umowy z wykonawcami (agencja eventowa, fotograf, catering, nagłośnienie), porozumienia z wolontariuszami oraz umowy powierzenia przetwarzania danych osobowych (np. z operatorem płatności, systemem mailingowym). Dzięki temu każdy wie, za co odpowiada i czego może oczekiwać.
Jeśli prowadzisz zbiórkę publiczną lub loterię fantową, dochodzą dokumenty wymagane przepisami (zgłoszenia, regulaminy, protokoły). Bez nich nawet najlepiej nagłośniony bal może zakończyć się nieprzyjemną korespondencją z urzędem – a to raczej nie jest efekt, na który liczysz.
Czy muszę mieć zgodę na publikację wizerunku uczestników balu charytatywnego?
Jeśli planujesz publikować zdjęcia uczestników w internecie (strona www, Facebook, Instagram, materiały promocyjne), zgoda na wykorzystanie wizerunku jest bardzo wskazana. Najlepiej połączyć ją z jasną informacją w formularzu zgłoszeniowym, że wydarzenie będzie fotografowane i nagrywane, oraz umożliwić osobne zaznaczenie zgody na publikację wizerunku.
Dodatkowo dobrze działa oznaczenie na miejscu: informacje przy wejściu i dyskretne piktogramy informujące o fotografowaniu. Osoba, która nie chce być w galerii zdjęć, powinna mieć prostą ścieżkę, by to zgłosić (np. przy rejestracji lub bezpośrednio fotografowi). Oszczędza to wszystkim nerwów po wydarzeniu.
Co musi zawierać regulamin wydarzenia charytatywnego, żeby nie mieć problemów?
W praktyce regulamin powinien jasno opisywać: zasady udziału (kto może wziąć udział, jak się zapisuje, kiedy płaci), zasady rezygnacji i zwrotów opłat, odpowiedzialność organizatora (np. za rzeczy pozostawione na sali), przebieg licytacji lub konkursów oraz sposób rozpatrywania reklamacji. Dzięki temu, gdy ktoś zażąda zwrotu opłaty za bilet „bo się rozmyślił”, masz się do czego odwołać.
Dobrym dodatkiem jest sekcja o przetwarzaniu danych (odwołująca się do klauzuli RODO) oraz informacje o tym, że wydarzenie jest dokumentowane foto/wideo. Im mniej „niedopowiedzeń” w regulaminie, tym mniej emocjonalnych sporów w mailach po balu.
Jak pogodzić wymagania sponsorów z RODO, gdy proszą o dostęp do bazy uczestników?
Udostępnienie sponsorowi pełnej bazy uczestników z danymi kontaktowymi zwykle nie ma podstawy prawnej, jeśli nie poinformowałeś o tym uczestników i nie zebrałeś na to ich odrębnej zgody. Sam fakt, że sponsor „dał dużo pieniędzy”, nie tworzy podstawy do przekazania mu danych osobowych.
Bezpieczniejsze rozwiązania to: przekazywanie sponsorowi raportów zbiorczych (bez danych osobowych), wysyłanie komunikacji do uczestników w imieniu sponsora przez organizatora (np. mailing z podziękowaniem) lub wprowadzenie osobnej, dobrowolnej zgody, że uczestnik chce otrzymywać materiały od konkretnego sponsora. Wtedy wchodzisz już w umowy powierzenia lub współadministrację – i robi się poważnie, ale nadal legalnie.
Kto jest administratorem danych przy wydarzeniu charytatywnym i jak to ustalić?
Administratorem danych osobowych jest ten podmiot, który decyduje, po co zbierane są dane i co się z nimi dzieje. Najczęściej będzie to fundacja, stowarzyszenie, szkoła lub firma będąca głównym organizatorem wydarzenia. To na niej spoczywa obowiązek przygotowania klauzul informacyjnych, podstaw prawnych przetwarzania i zawarcia umów powierzenia z podmiotami przetwarzającymi.
Agencja eventowa, operator płatności, system mailingowy czy fotograf to zazwyczaj podmioty przetwarzające działające na rzecz administratora. Żeby się nie pogubić, warto zrobić prostą tabelkę: kto zbiera jakie dane, w czyim imieniu, na jakiej podstawie prawnej i jak długo je przechowuje. Taki plik Excel potrafi uratować skórę, gdy odezwie się inspektor ochrony danych lub UODO.
Czy potrzebuję formalnych umów z wolontariuszami przy małym pikniku charytatywnym?
Przy mniejszych inicjatywach kusi podejście „po znajomości”, ale choć umowa z wolontariuszem nie zawsze musi mieć rozbudowaną formę, podstawowe porozumienie o wolontariacie jest rozsądnym minimum. Określa zakres zadań, zasady odpowiedzialności, kwestie ubezpieczenia oraz to, kto jest organizatorem akcji.
W kontekście RODO wolontariusze powinni też dostać krótką instrukcję, jak obchodzić się z danymi (listy uczestników, zapisy, numery telefonów). Jeden nieprzeszkolony wolontariusz z notesem może zrobić więcej szkody niż najbardziej złośliwy troll w internecie.
Jakie błędy w dokumentach przy wydarzeniach charytatywnych zdarzają się najczęściej?
Najczęstsze „klasyki gatunku” to: dwa różne regulaminy w obiegu (na stronie i na Facebooku), brak czytelnych zasad zwrotu opłat za bilety, brak zgody lub informacji o publikacji wizerunku, brak umowy powierzenia z dostawcą systemu zapisów online oraz brak spójnej klauzuli informacyjnej RODO przy formularzach. Często dochodzi do tego improwizacja w dniu wydarzenia: dopisywanie zgód długopisem na kolanie.
Dobrym lekarstwem jest przygotowanie jednego, sprawdzonego „pakietu”: wzoru regulaminu, wzoru zgody na wizerunek, standardowej klauzuli RODO i krótkich procedur dla zespołu. Raz opracowany zestaw możesz potem tylko lekko modyfikować do kolejnych akcji, zamiast za każdym razem zaczynać od czystej kartki (i tych samych błędów).
Najważniejsze wnioski
Przy wydarzeniach charytatywnych „dobra wola” nie chroni przed odpowiedzialnością – bałagan w zgodach, umowach i RODO może skończyć się skargą do UODO, roszczeniami finansowymi, konfliktem ze sponsorem i poważnym kryzysem wizerunkowym.
Presja czasu i praca wolontariuszy sprzyjają chaosowi: niespójne regulaminy, brak szkoleń RODO, niejasne ustalenia ze sponsorami czy fotografami sprawiają, że nikt nie wie, kto za co odpowiada i na jakiej podstawie przetwarza dane.
Trzeba odróżnić twarde dokumenty (umowy, regulamin, umowy powierzenia danych, dokumenty przy zbiórce/loterii), które wymagają podpisu, od wewnętrznych procedur i instrukcji (rejestracja, listy obecności, obsługa żądań RODO, zasady fotografowania), które mogą mieć prostszą formę.
Dobrze opisane procedury i „szablony” dokumentów pozwalają organizować kolejne eventy w powtarzalny sposób, zamiast za każdym razem na szybko wymyślać nowe zgody i regulaminy – mniej improwizacji, więcej bezpieczeństwa.
Brak jasnej informacji o fotografowaniu i odrębnej zgody na publikację wizerunku może wymusić usuwanie zdjęć z galerii i przeprosiny zamiast promocji wydarzenia; prosta klauzula i checkbox przy bilecie często ratują sytuację.
Forma prawna organizatora (fundacja, stowarzyszenie, szkoła, firma) decyduje, kto podpisuje umowy i kto jest administratorem danych, więc przed startem przygotowań trzeba ustalić „czyj to event” także od strony prawnej, a nie tylko organizacyjnej.
