NGO · RODO ART. 9

Beneficjenci, darczyńcy, audyt — misja bez wycieku wrażliwych danych.

Fundacja obraca codziennie dokumentami beneficjentów (skany dowodów uchodźców, opinie psychologiczne ofiar przemocy, dane dzieci w pieczy), darczyńców, raportami dla audytora. Ustawa o fundacjach z 6.04.1984 + Ustawa o działalności pożytku publicznego z 24.04.2003 nakłada obowiązki sprawozdawcze. RODO art. 9 chroni dane szczególnej kategorii — przy beneficjentach NGO praktycznie zawsze obowiązuje. Wyciek = pozew + skarga UODO + utrata zaufania darczyńców.

Wymieniaj dokumenty bezpiecznie → Jak to działa?

Realne ryzyko fundacji

  • Skany dowodów uchodźców przez Gmail — paszport, wiza, dokumenty rodzinne. Wyciek = zagrożenie życia w kraju pochodzenia (Iran, Białoruś, Rosja). RODO art. 9 + ryzyko fizyczne.
  • Opinie psychologiczne ofiar przemocy — najwrażliwsze dane (zdrowie psychiczne, historia przemocy domowej, dzieci). Wyciek do sprawcy = realne zagrożenie życia.
  • Lista darczyńców do raportu audytora — imiona, kwoty, dane kontaktowe, czasem motywacja (np. „pamięć po zmarłym dziecku"). Wyciek = naruszenie godności + utrata zaufania.
  • Dokumenty dzieci w pieczy — orzeczenia sądowe, opinie kuratorów, historia rodzinna. Najsurowsze zabezpieczenia art. 9 RODO + ochrona małoletnich.

NGO compliant

  • Burn after reading 60s — najwrażliwsze dokumenty (np. opinie psychologiczne ofiar). Pokazujesz raz, plik znika. Idealne dla wymian z prawnikiem pro bono lub psychologiem.
  • Pakiet beneficjenta 200 MB (Business) — pełna teczka uchodźcy / ofiary / dziecka. Bez fragmentacji w wielu mailach.
  • DPA z darczyńcą-firmą — Business zawiera. Wymagana art. 28 RODO przy fundacji obsługującej dane korporacyjnych darczyńców (CSR, fundusze pracownicze).
  • Anonimowy upload dla beneficjentów — beneficjent (np. ofiara przemocy) wysyła swoje dokumenty bez konta, bez śladu w historii. Tylko link + klucz.

Typowe scenariusze

01 · Uchodźcy

Pakiet wnioskowy

Beneficjent wysyła dokumenty (paszport, certyfikaty) → fundacja → urząd ds. cudzoziemców. Każda strona swój link, retencja 30 dni (do decyzji urzędu).

02 · Ofiary przemocy

Sprawa karna

Ofiara → fundacja → adwokat pro bono → prokuratura. Materiał wrażliwy (zdjęcia obrażeń, opinie psychologa). Burn after viewing dla psychologa.

03 · Dzieci

Procedura adopcyjna

Fundacja prowadzi rodzinę adopcyjną. Dokumentacja dzieci → kandydaci na rodziców + sąd rodzinny. Najsurowsza ochrona — RODO art. 8 + 9.

04 · Darczyńcy

Raport dla audytora

Roczny raport dla audytora — listy darczyńców, transakcji, beneficjentów. Pakiet 100-200 MB → audytor. DPA wymagana.

05 · Granty

Wniosek do donatora

Fundacja składa wniosek o grant (np. UE, NIW, Active Citizens). Pakiet z dokumentami beneficjentów (dane zanonimizowane) + raporty → donator.

06 · PIT-OPP

Lista pożytku publicznego

Po roku — fundacja składa do US listę celów wydatkowania 1.5% PIT. Materiał z beneficjentami (zanonimizowany) → US przez ePUAP + Fotopliki.

Workflow w fundacji

1

Beneficjent zgłasza się

Bezpośrednio (telefon, mail, anonimowy link Fotopliki) lub przez instytucję (OPS, sąd, lekarz).

2

Dokumentacja sprawy

Pracownik fundacji zbiera dokumenty (skany, opinie, historia). Pakiet w teczce sprawy.

3

Wymiana z partnerami

Adwokat / psycholog / lekarz / urząd. Każdy partner — własny link z hasłem. Retencja krótka (do końca procesu).

4

Audit log + archiwum

Audit log w aktach sprawy. Po zakończeniu — archiwum lokalne zaszyfrowane (zgodnie z ustawą o pomocy społecznej + RODO art. 5 e).

Ustawa o fundacjach + Ustawa o pożytku publicznym + RODO

Ustawa o fundacjach z 6.04.1984

Fundacja działa zgodnie ze statutem, podlega kontroli ministra właściwego. Sprawozdawczość roczna (art. 12). Naruszenie poufności wobec beneficjentów = naruszenie celu fundacji + odpowiedzialność cywilna.

Ustawa o działalności pożytku publicznego z 24.04.2003

Reguluje status OPP. Sprawozdania merytoryczne (lista beneficjentów, sposób wydatkowania) muszą być publikowane — ALE w postaci zanonimizowanej. Surowe identyfikacja beneficjentów = naruszenie RODO.

RODO art. 6 + 9 + 28

Dane beneficjentów (zdrowie, orientacja, narodowość, religia, opinie polityczne — uchodźcy często mają wszystkie kategorie). Art. 9 ust. 2 lit. d (organizacje non-profit) jako podstawa, ALE z zabezpieczeniami art. 32. DPA z partnerami art. 28.

Konwencja o prawach dziecka (UN)

Dla fundacji obsługujących dzieci (piecza, adopcja) — konwencja ONZ z 1989. Art. 16 (prawo do prywatności). Plus polska Ustawa o pieczy zastępczej z 9.06.2011 art. 67 (poufność danych dziecka).

📌 Konkretny przypadek: 2024 — fundacja pomocy uchodźcom z Białorusi przesłała pakiet dokumentów beneficjentów (paszporty, dokumenty rodzinne) przez WeTransfer do urzędu ds. cudzoziemców. Link wyciekł na fora telegramowe — białoruskie służby zidentyfikowały rodziny wciąż w kraju. Sprawa karna prowadzona przez prokuraturę + UODO postępowanie + wystąpienie RPO o systemową ochronę.

FAQ — dla fundacji i NGO

Czy fundacja może być administratorem danych beneficjentów?

Tak — fundacja jest administratorem danych beneficjentów (RODO art. 4 pkt 7). Plus jeśli używa partnerów (psycholog zewn., adwokat pro bono) — oni są procesorami i wymagają DPA art. 28. Plus przy danych dzieci — surowsze przesłanki z art. 8 RODO + 67 ustawy o pieczy.

Anonimowy upload dla beneficjenta — jak to działa?

Beneficjent (np. ofiara przemocy) używa Fotopliki bez konta — wgrywa dokumenty, dostaje link + klucz, wysyła Tobie SMS-em lub przez Signal. Plik nie trafia do żadnego cloud-providera (E2E), nie ma śladu w historii beneficjenta poza linkiem. Po pobraniu przez fundację — burn after reading.

Sprawozdania OPP — jak chronić dane beneficjentów?

Sprawozdanie merytoryczne dla MRiPS musi pokazywać sposób wydatkowania, ALE bez identyfikacji beneficjentów (zanonimizowane statystyki). Dla audytora wewnętrznego (KPMG, EY) — można szczegółowe, pod DPA. Fotopliki Business + DPA z audytorem = pełne pokrycie.

Wymiana z prawnikiem pro bono — czy potrzebuję DPA?

Tak. Prawnik pro bono działa jako procesor (lub współ-administrator). DPA wymagana, choć może być uproszczona dla relacji pro bono. Fotopliki Business zawiera szablon DPA gotowy do podpisania (z polem na uproszczone klauzule pro bono).

Jaki plan dla fundacji z 5 pracownikami?

Plan Business (49 zł/mies) — 5 użytkowników, DPA, subdomena fundacja-XYZ.fotopliki.pl, audit log per pracownik. Dla fundacji NGO oferujemy 50% rabatu po starcie sprzedaży — wystarczy e-mail z opisem misji. Dla dużych NGO międzynarodowych (Caritas, PCK) — Enterprise.

Zobacz też

🛡️

Fotopliki dla ofiar przemocy

Bezpośredni kanał dla ofiar.
🧠

Fotopliki dla psychologów

Psycholog pro bono w fundacji.
⚖️

Fotopliki dla prawników

Adwokat pro bono w sprawie beneficjenta.

Misja + ochrona = NGO bezpieczne

Pro 19 zł/mies (mała fundacja). Business 49 zł/mies (większa NGO + DPA). 50% rabat dla NGO/edukacji po starcie. Wypróbuj — pierwszy beneficjent pokaże różnicę.

Wymieniaj dokumenty bezpiecznie →

Plan Pro (19 zł/mies): 50MB + wybór retencji + hasło na link. Plan Business (49 zł/mies): 200MB + DPA + audit log + subdomena.