- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Varovanje osebnih podatkov v pogovornem klubu
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Varovanje osebnih podatkov v pogovornem klubu
Datum: 28.11.2024
Številka: 07121-1/2024/1471
Kategorije: Društva, Informiranje posameznika, Privolitev, Sodni postopki, Varnost osebnih podatkov, Zakoniti interesi
Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Opisujete, da se v okviru svojega društva lotevate projekta, katerega del bo tudi neke vrste pogovorni klub za starše, v katerem bodo starši lahko izmenjevali svoje izkušnje. Sprašujete nas, kako se lahko obvarujete pred krivdo izdaje podatkov, če do te pride s strani člana skupine. Ali lahko v ta namen spišete izjavo, s katero člani zagotovijo molčečnost in ali je za veljavnost take izjave treba sodelovati z IP?
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za obdelavo osebnih podatkov v okviru društva je treba zagotoviti ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe, npr. izvajanje pogodbe. Posamezniku je ob pridobitvi njegovih podatkov treba podati tudi informacije o obdelavi osebnih podatkov po 13. členu Splošne uredbe, npr. glede namena in pravne podlage za obdelavo osebnih podatkov, obdobja hrambe, v zvezi s pravicami posameznika itd.
IP vam skladno s svojimi pristojnostmi ne more potrditi izjave o varovanju osebnih podatkov pogovornega kluba. Vsak posameznik je dolžan k varovanju osebnih podatkov, o čemer vam priporočamo, da člane tudi obvestite.
Predlagamo vam, da sprejmete pravila delovanja pogovornega kluba, s katerimi seznanite vse člane kluba. Pravila naj bodo jasno opredeljena in posebej izpostavijo tudi zaupnost. V primeru zaznanih kršitev vam predlagamo, da ustrezno ukrepate.
Obrazložitev
Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Obenem tudi opozarjamo, da IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih navodil ali drugih vrst rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.
Iz vašega vprašanja razumemo, da ne gre za spletni forum, temveč za pogovore skupine v okviru društva, ki potekajo v živo. Pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov (npr. zbiranje osebnih podatkov o članih, shranjevanje, nadaljnje posredovanje oz. drugo obdelavo) podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:
(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Pri tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Običajno so pravne podlage za obdelavo osebnih podatkov znotraj društva izvajanje pogodbe po citirani točki (b) prvega odstavka 6. člena Splošne uredbe ali zakoniti interesi po točki (f) prvega odstavka 6. člena Splošne uredbe. Za zakonitost obdelave je odgovoren upravljavec, ki naj glede na okoliščine presodi, katera je ustrezna pravna podlaga za obdelavo osebnih podatkov. Pomagate si lahko tudi z že izdanimi mnenji IP, npr. o vključitvi v programe v okviru društva v mnenju št. 0712-1-2019/365 z dne 17. 3. 2019.[1] V tem primeru smo poudarili, da bi lahko bila pravna podlaga za obdelavo osebnih podatkov uporabnikov izvajanje pogodbe, saj so se z uporabniki sklepali dogovori o vključitvi v programe in je tako bila obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Tako lahko na tej podlagi društvo obdeluje osebne podatke, ki jih potrebuje za izvajanje pogodbe, oz. izvedbo svojega programa, pri čemer morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (točka (c) prvega odstavka 5. člena Splošne uredbe).
V primeru, da se v okviru društva obdelujejo posebne vrste osebnih podatkov (t.i. občutljivi osebni podatki, med katere npr. uvrščamo podatke v zvezi z zdravjem, spolno usmerjenostjo, podatki ki razkrivajo rasno in etnično poreklo, itd.) je treba zagotoviti posebno pravno podlago skladno z drugim odstavkom 9. člena Splošne uredbe. Predlagamo vam, da več o pravnih podlagah preberete v Smernicah IP Društva in varstvo osebnih podatkov, ki so dostopna na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Drustva_in_varstvo_osebnih_podatkov.pdf.
Posameznikom morate še pred obdelavo njihovih podatkov zagotoviti tudi nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Posamezniki morajo biti seznanjeni npr. z naslednjim: nameni ter pravno podlago za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobjem hrambe osebnih podatkov, pravicami posameznika, itd.[2]
IP vam skladno s svojimi pristojnostmi ne more svetovati, kakšna naj bo konkretno vsebina izjav članov, s katero bi potrdili dolžnost varovanja osebnih podatkov. Vsekakor priporočamo, da jih obvestite, da gre lahko pri nezakonitem posredovanju osebnih podatkov iz takega pogovornega kluba pod določenimi pogoji za kršitev varstva osebnih podatkov (če se obdelava v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke) oz. za poseg v pravico do zasebnosti v širšem smislu iz 35. člena Ustave RS, ki sodi v pristojnost sodišč in je varovana z instituti civilnega in kazenskopravnega varstva, za posledico pa ima lahko tudi kazensko in odškodninsko odgovornost. Več o tem glej npr. v mnenju IP št. 07121-1/2024/1124 z dne 27. 9. 2024.
Vsak član je zavezan k varovanju osebnih podatkov, kot upravljavec pa morate zagotoviti tudi ustrezno varnost zbranih oz. nadalje obdelovanih osebnih podatkov (npr. da zavarujete sistem, v katerem obdelujete osebne podatke članov, itd.).
Če gre v vašem primeru morda za spletni forum, vas napotujemo na Smernice glede varstva osebnih podatkov na spletnih forumih, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_forumi_web.pdf. Opozarjamo, da smernice sicer niso posodobljene glede na določbe Splošne uredbe in ZVOP-2, vendar so še vedno lahko uporabne v zvezi z morebitnimi zlorabami na forumu in napotki za upravljavce forumov (glej npr. primeri zlorab od str. 8 dalje in napotki na str. 23).
Lepo vas pozdravljamo,
[1][1] V tem primeru smo poudarili, da bi lahko bila pravna podlaga za obdelavo osebnih podatkov uporabnikov izvajanje pogodbe, saj so se z uporabniki sklepali dogovori o vključitvi v programe in je tako bila obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Tako lahko na tej podlagi društvo obdeluje osebne podatke, ki jih potrebuje za izvajanje pogodbe, oz. izvedbo svojega programa, pri čemer morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (točka (c) prvega odstavka 5. člena Splošne uredbe).
[2][2] Posameznikom morate še pred obdelavo njihovih podatkov zagotoviti tudi nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Posamezniki morajo biti seznanjeni npr. z naslednjim: nameni ter pravno podlago za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobjem hrambe osebnih podatkov, pravicami posameznika, itd.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
---
[1]Mnenja so dostopna s pomočjo iskalnikov na www.ip-rs.si/vop.
[2]Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.