Obdelava osebnih podatkov v društvu

Datum

22.04.2026

Številka

07121-1/2026/386

Kategorije

Društva, Varnost osebnih podatkov, Privolitev

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje glede skladnosti delovanja društva, zlasti na področju upravljanja dostopov, hrambe podatkov in uporabe e-poštnih sistemov v okviru Google Workspace. Sprašujete tudi, ali bi lahko za kandidate za funkcijo društva določili pogoj nekaznovanosti.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1 in 10/26 – ZP-1L, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obrazložitev

IP bi lahko konkretno oceno zakonitosti delovanja društva podal v konkretnem nadzornem postopku, v okviru nezavezujočega mnenja pa vam lahko podamo zgolj splošne usmeritve.

Društvo je kot upravljavec odgovorno za organizacijo dela, skrb za pravne podlage, ureditev dostopa do posameznih osebnih podatkov in način organizacije vodenja dokumentacije. Na splošno poudarjamo, da mora biti za obdelavo osebnih podatkov podana ustrezna pravna podlaga. Osebne podatke članov lahko društvo, odvisno od konkretnih okoliščin, obdeluje na podlagi prvega odstavka 6. člena Splošne uredbe o varstvu podatkov (Splošna uredba), npr. na podlagi privolitve po točki (a), zaradi izvajanja pogodbe po točki (b) ali na podlagi zakonitih interesov po točki (f) prvega odstavka 6. člena Splošne uredbe. Nadalje mora zagotoviti tudi zavarovanje osebnih podatkov (priporoča se npr. sprejem pravilnika o varnosti osebnih podatkov), npr. kot sami poudarjate, glede dostopa do osebnih podatkov, hrambe, uporabe poštnih sistemov, itd. Priporočljivo je, da društvo v svojih aktih čim natančneje predpiše, katere podatke članov bo obdelovalo in za kakšen namen. Z vsebino teh aktov morajo biti na primeren način seznanjeni tudi člani.

V zvezi z Google Workspace vam predlagamo, da natančno preučite nastavitve zasebnosti in da člane vnaprej obvestite, če ta komunikacija ni zasebna oz. čemu je namenjena in kdo ima eventualno dostop do določenih podatkov. Treba je poskrbeti tudi za ustrezne dostopne pravice - lokalni administrator mora imeti tehnični dostop do e-predalov zaradi vzdržavanja in odpravljanja težav, seveda pa to ne pomeni, da sme brati e-pošto in se seznanjati z vsebino brez vednosti in soglasja pošiljateljev in prejemnikov. O tem mora biti ustrezno obveščen, priporočljivo je, da je področje urejeno v notranjem aktu. Glede dodatnega vprašanja (brisanje arhiva e- sporočil) prav tako predlagamo, da se določijo interna pravila in se z njimi seznani vse osebe glede postopkov ravnanja z e-poštnimi predali, opredeljeni naj bodo tudi npr. roki hrambe in pogoji, kdaj se posamezen predal izbriše ali arhivira.

V zvezi s potrdili o nekaznovanosti vam predlagamo, da najprej preučite, ali je takšen podatek zares nujno potreben za kandidata za funkcijo društva. Upoštevati je treba, da se skladno s prvim odstavkom 10. člena Zakona o varstvu osebnih podatkov (ZVOP-2) podatki o vpisu ali izbrisu v ali iz kazenskih evidenc in prekrškovnih evidenc ter prenosi teh podatkov obravnavajo kot posebne vrste osebnih podatkov v skladu s prvim in drugim odstavkom 9. člena Splošne uredbe (torej občutljivi osebni podatki). Zato je treba zagotoviti tudi ustrezno pravno podlago skladno z 9. členom Splošne uredbe, pri čemer IP načeloma druge pravne podlage, razen izrecnega soglasja posameznikov, ne vidi.

Za zakonitost obdelave osebnih podatkov je torej odgovoren upravljavec sam, več o obdelavi osebnih podatkov v društvu pa lahko preberete v smernicah Društva in varstvo osebnih podatkov, ki so dostopne na: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/dru%C5%A1tva-in-varstvo-osebnih-podatkov. Odgovore na svoja vprašanja lahko poiščete tudi v že izdanih mnenjih IP, ki so dostopna s pomočjo iskalnikov na: https://www.ip-rs.si/mnenja-zvop-2/.

Lep pozdrav,

dr. Jelena Virant Burnik,

informacijska pooblaščenka

Pripravila:

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca II