Obdelava osebnih podatkov udeležencev delavnic

Datum

01.03.2024

Številka

07121-1/2024/225

Kategorije

Društva, Pravne podlage, Privolitev

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste v društvu oblikovali soglasje za zbiranje osebnih podatkov. Izpolnjeno soglasje naj bi predstavljal pogoj za prijavo na delavnice vašega društva. Ena izmed obiskovalk vaših delavnic naj bi sedaj zavrnila soglasje za zbiranje podatkov, a vseeno želela, da se na delavnico prijavi. Zanima vas, kako se na njeno zahtevo odzvati?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

Pri IP smo pripravili posebne smernice za organizatorje različnih dogodkov, v katerih želimo na čim bolj razumljiv način predstaviti obveznosti organizatorjev dogodkov ob zbiranju in uporabi osebnih podatkov ter podati uporabne napotke. Smernice si lahko preberete na povezavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/.

IP na podlagi predloženih informacij v okviru mnenja nikakor ne sme, niti ne more presojati ustreznosti in zakonitosti predloženih soglasij za obdelavo osebnih podatkov, niti presojati katera je ustrezna pravna podlaga za zbiranje in obdelavo osebnih podatkov udeležencev, saj v podrobnosti ne pozna vseh namenov za katere je zbiranje podatkov udeležencev potrebno, niti to kateri točno podatki se zbirajo oz. kateri točno podatki so potrebni za posamičen zasledovan namen. IP bi presojo lahko opravil zgolj v okviru inšpekcijskega oz. drugega upravnega postopka.

Odgovornost za zagotavljanje skladnosti s pravili varstva osebnih podatkov je vedno na upravljavcu osebnih podatkov (v vašem primeru na organizatorju dogodka), ki za svoja ravnanja tudi odgovarja.

Obrazložitev

IP uvodoma poudarja, da v okviru podaje neobvezujočih mnenj, nikakor ne sme niti ne more presojati ustreznosti in zakonitosti predloženih soglasij za obdelavo osebnih podatkov, niti ne more podajati konkretnega in dokončnega odgovora o tem, ali vaše društvo zakonito obdeluje osebne podatke udeležencev delavnic. IP bi lahko posamezne primere obdelave podatkov konkretno presojal zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

IP ugotavlja, da se organizatorji seminarjev, konferenc, delavnic, srečanj, kongresov, posvetov in podobnih dogodkov se ob njihovi organizaciji in izvedbi vse bolj srečujejo z vprašanji s področja varstva osebnih podatkov, kot npr. katere osebne podatke udeležencev pridobiti in kako, koliko časa in kako pridobljene osebne podatke hraniti, komu omogočiti dostop do njih in podobno. Tudi udeležencem teh dogodkov se pojavljajo podobna vprašanja, pa tudi vprašanja o pravicah, ki jih imajo na voljo v zvezi s svojimi osebnimi podatki ter kako jih uresničevati.

V praksi opažamo, da številni organizatorji pomanjkljivo informirajo posameznike o tem, zakaj sploh potrebujejo določene osebne podatke in kakšne pravice imajo posamezniki. Pri IP smo zato pripravili posebne smernice za organizatorje različnih dogodkov, v katerih želimo na čim bolj razumljiv način predstaviti obveznosti organizatorjev dogodkov ob zbiranju in uporabi osebnih podatkov ter podati uporabne napotke. Smernice si lahko preberete na povezavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/.

IP glede obdelave osebnih podatkov najprej poudarja, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga, določena v 6. členu Splošne uredbe ter v 9. členu Splošne uredbe za posebne vrste osebnih podatkov. Posebno ureditev predvsem z vidika kontaktiranja posameznikov in objave določa tudi 93. člen ZVOP-2.

Prvi odstavek 93. člena ZVOP-2 ureja uporabo kontaktnih podatkov in sicer določa, da oseba iz javnega ali zasebnega sektorja lahko uporablja:

• kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali

• v okviru izvrševanja svojih javnih nalog ali

• so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali

• dali privolitev, za naslednje namene:

• organiziranja uradnih srečanj,

• izobraževanj,

• usposabljanj in dogodkov,

• določanja sestav ali delovanje komisij, svetov, delegacij in drugih

• podobnih dejavnosti javnega sektorja,

• dajanja izjav za javnost,

• razen izvajanja neposrednega trženja.

Zbirke osebnih podatkov, ki nastanejo na podlagi 93. člena ZVOP-2, morajo biti tudi ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti (npr. ločeno od zbirk podatkov za izvajanje neposrednega trženja, kadrovskih evidenc ipd.).

Če ne gre za situacijo, ki jo obravnava zgoraj opisani 93. člen ZVOP-2 (npr. da gre za druge vrste osebnih podatkov, za drugačne vrste dogodkov ali namene) morate upoštevati, da za obdelavo osebnih podatkov pri organizaciji dogodkov velja Splošna uredba in pravne podlage po Splošni uredbi. Obdelava pa je po Splošni uredbi zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev: če je podana privolitev posameznika; če je obdelava potrebna za izvajanje pogodbe; za izpolnitev zakonske obveznosti upravljavca; za zaščito življenjskih interesov posameznika; zaradi javnega interesa ali zakonitih interesov upravljavca (vse pod določenimi strogimi pogoji).

V zvezi s privolitvijo posameznika

IP v zvezi s privolitvijo poudarja, da je le ta relevantna zlasti za tisti del podatkov, ki ni obvezen za samo izvedbo storitev, temveč se lahko prepusti svobodni izbiri posameznika. Za osebne podatke, ki so (dejansko) potrebni za izvedbo storitve, je bolj primerna podlaga v pogodbi s posameznikov.

Privolitev posameznika mora biti prostovoljna, informirana, specifična, nedvoumna, aktivno podana in dokazljiva. Več informacij o privolitvi je dostopnih na spletni strani IP: https://www.iprs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucnapodrocja-uredbe/privolitev/.

2. V zvezi s pravno podlago na podlagi pogodbe

Pri različnih dogodkih bo potreba po obdelavi za izvajanje pogodbe, zlasti ko gre za plačljive dogodke (ni pa to nujno), kot so posveti, konference, delavnice in izobraževanja, najbolj ustrezna pravna podlaga. Pri tem kot »pogodbo« razumemo različno obličnost ureditve razmerja s posameznikom – lahko gre za sprejem pogojev nudenja storitve – ni torej nujno, da gre za pogodbo kot tako. Določen nabor osebnih podatkov udeleženca bo potreben zaradi same izvedbe storitve, ki jo želi posameznik in omogoča organizator dogodka (upravljavec podatkov); gre zlasti za identifikacijske podatke (ime in priimek, naslov prebivališča ipd.) ter kontaktne podatke (npr. naslove e-pošte in/ali telefonska številka zaradi obveščanja o izvedbi, morebitnih odpovedih in druge potrebne komunikacije izvajalca z udeleženci).

Podatke, ki so potrebni za samo izvedbo storitve, lahko organizator zahteva kot obvezne, pri tem pa mora upoštevati načelo sorazmernosti in namenskosti. Ni namreč dopustno kot obvezne podatke zahtevati takšne, ki dejansko niso potrebni za samo izvedbo storitve, kot npr. (kot obvezno) zahtevati fotografijo udeležencev seminarja.

Več o naboru obveznih osebnih podatkov ter drugih relevantnih pravnih podlagah za organizacijo dogodkov pa si lahko preberete str. 13-18 zgoraj omenjenih smernic za organizatorje dogodkov.

Ponovno poudarjamo, da IP na podlagi predloženih informacij in v okviru mnenja ne more presojati, katera je ustrezna pravna podlaga za zbiranje in obdelavo osebnih podatkov udeležencev, saj v podrobnosti ne pozna vseh namenov za katere je zbiranje podatkov udeležencev potrebno, niti to kateri točno podatki se zbirajo oz. kateri točno podatki so potrebni za posamičen zasledovan namen. Odgovornost za zagotavljanje skladnosti s pravili varstva osebnih podatkov je vedno na upravljavcu osebnih podatkov (v vašem primeru na organizatorju dogodka), ki za svoja ravnanja tudi odgovarja. IP bi to presojo lahko opravil zgolj v okviru inšpekcijskega oz. drugega upravnega postopka.

Pri organizaciji usposabljanj in drugih dogodkov je treba poleg zagotovitve ustrezne pravne podlage za obdelavo biti še posebej pozoren na naslednje vidike:

1. Posameznike je treba ustrezno informirati o obdelavi osebnih podatkov

Temeljna obveznost vseh upravljavcev osebnih podatkov je namreč zagotoviti pregledno obdelavo osebnih podatkov. Organizatorji dogodka kot upravljavci osebnih podatkov morajo poskrbeti, da so posameznikom v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku na voljo določene informacije o obdelavi osebnih podatkov.

V veliki večini primerov bo upravljavec (organizator dogodka) osebne podatke pridobil od samega posameznika. V tem primeru mu mora že ob pridobitvi osebnih podatkov (ne šele kasneje) zagotoviti določene informacije v zvezi z obdelavo osebnih podatkov, ki so določene v členu 13 Splošne uredbe.

Upravljavec osebnih podatkov mora namreč posamezniku ob pridobitvi njegovih osebnih podatkov podati nekatere informacije o obdelavi osebnih podatkov, npr. identiteta in kontaktni podatki upravljavca, namen in pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, podatki o morebitnem prenosu osebnih podatkov, obdobje hrambe, itd.

Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov, v številnih naših že objavljenih mnenjih (npr. mnenje IP št. 0712-1/2019/1891 z dne 14. 8. 2019) ter v zgoraj omenjenih smernicah za organizatorje dogodkov na straneh 4-12.

2. Zbirati je dovoljeno zgolj tiste osebne podatke, ki organizatorjem dogodka omogoča uresničitev namenov obdelave - več o tem tudi str. 19 omenjenih smernic za organizatorje dogodkov.

3. Voditi je treba popis zbirk osebnih podatkov (t.i. evidenca dejavnosti obdelave) – več o tem tudi str. 20-21 omenjenih smernic za organizatorje dogodkov.

4. Zagotoviti je treba varnost zbranih podatkov - več o tem tudi str. 22 omenjenih smernic za organizatorje dogodkov.

5. Upoštevati področne ureditve glede na vrsto osebnih podatkov, ki se obdelujejo in vrsto dogodka ter razmerje z udeleženci - več o tem tudi str. 23 omenjenih smernic za organizatorje dogodkov.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil:

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka