Obdelava osebnih podatkov članov sindikata

Datum

13.12.2023

Številka

07121-1/2023/1565

Kategorije

Informiranje posameznika, Posebne vrste OP, Pravne podlage, Privolitev, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da ste kot predstavnik sindikata članom (ki so vam posredovali pristopno izjavo in naveden e-naslov za obveščanje), pošiljali informacije glede sindikalnih aktivnosti. Občasno ste te informacije dali v vednost tudi direktorici …, ki pa si je iz zasebnih sindikalnih naslovov ustvarila skupino in jo je v preteklosti informirala, v obliki kot je sama želela. Zanima vas, ali direktorica sme uporabljati privatne naslove članov sindikata, ne da bi jih vprašala za dovoljenje.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za vsako obdelavo osebnih podatkov mora upravljavec izkazati ustrezno pravno podlago, npr. privolitev po točki (a) prvega odstavka 6. člena Splošne uredbe. Privolitev mora biti vedno prostovoljna, specifična, informirana ter nedvoumna in se lahko kadarkoli prekliče.

Ob pošiljanju e-pošte je treba osebne podatke članov tudi ustrezno zavarovati, npr. na način, da se jih ne posreduje nepooblaščenim osebam in da se e-naslovi članov navedejo v skriti kopiji. Iz vašega opisa ni jasno, zakaj so bili e-naslovi posredovani v vednost direktorici in ali je za to obstajala ustrezna pravna podlaga. Za uporabo teh e-naslovov pa bi tudi direktorica morala imeti ustrezno pravno podlago, sicer gre za nezakonito obdelavo osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Pri tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Članstvo v sindikatu predstavlja posebne vrste osebni podatek, za katerega mora biti podana ustrezna pravna podlaga skladno z 9. členom Splošne uredbe, npr. privolitev po točki (a) drugega odstavka 9. člena Splošne uredbe ali npr. skladno s točko (d) drugega odstavka 9. člena, iz katere izhaja, da je dopustna obdelava osebnih podatkov, ki jo izvajajo sindikati v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane sindikata ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki.

Za zbiranje in nadaljnjo obdelavo osebnih podatkov vaših članov (za pošiljanje e-pošte na njihove e-naslove) morate zagotoviti ustrezno pravno podlago, npr. kot navajate tudi sami, privolitev posameznika. Pojasnjujemo, da mora biti privolitev vedno prostovoljna, specifična, informirana ter nedvoumna in da se lahko kadarkoli prekliče. Upravljavec mora natančno opredeliti, kakšen je namen podane privolitve in na kakšen način bodo prejeti podatki obdelani. Več o privolitvi in njenih obveznih sestavinah lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

Posameznike morate tudi podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov.

Ob pošiljanju e-pošte je treba osebne podatke članov tudi ustrezno zavarovati, npr. na način, da se jih ne posreduje nepooblaščenim osebam in da se e-naslovi članov navedejo v skriti kopiji. Iz vašega opisa ni jasno, zakaj so bili e-naslovi posredovani v vednost (razkriti) direktorici (in morebiti tudi ostalim članom sindikata) in ali je za to obstajala ustrezna pravna podlaga z vaše strani - ali je npr. v ta namen podana privolitev članov (po točki (a) drugega odstavka 9. člena Splošne uredbe, če je bil s tem razkrit tudi podatek, da je oseba član sindikata) oz. druga pravna podlaga. Več o pravnih podlagah za obdelavo osebnih podatkov članov sindikata lahko preberete v mnenju IP št. 0712-3/2018/1260 z dne 7. 8. 2018 (do mnenj lahko dostopate s pomočjo iskalnika na www.ip-rs.si/vop). Za oblikovanje seznama e-naslovov in njihovo uporabo pa bi tudi direktorica morala imeti ustrezno pravno podlago, sicer gre za nezakonito obdelavo osebnih podatkov. Predlagamo vam, da preverite, ali je v konkretnem primeru prišlo do kršitve varnosti osebnih podatkov ter jo ustrezno sanirate in če je verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov, o tem podate tudi prijavo pri IP. Več o tem lahko preberete na https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/prijava-kr%C5%A1itev.

Lepo vas pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo