Obdelava OP članov društva

Datum

14.11.2023

Številka

07121-1/2023/1419

Kategorije

Društva, Informiranje posameznika, Obveščanje o kršitvah varnosti

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov ob vpisu novih članov v društvo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva, odvisna pa je od nalog in dejavnosti, ki jih določajo pravila za delovanje društva.

Kadar društva izvajajo dejavnosti, ki jih določajo pravila delovanja društva (statut in drugi temeljni oziroma interni akti društva), potem obdelava osebnih podatkov praviloma poteka na podlagi točke (b) oziroma točke (f) prvega odstavka 6. člena Splošne uredbe.

Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Priporočljivo je, da v svojih aktih čim bolj natančno predpišete, katere osebne podatke članov boste obdelovali in za kakšen namen. Z akti morajo biti na primeren način obveščeni tudi člani.

Glede obdelave osebnih podatkov mladoletnih članov velja v splošnem enako kot glede obdelave podatkov polnoletnih članov, treba pa je paziti, da je mladoletni član veljavno vključen v društvo.

Društva morajo pri obdelavi osebnih podatkov svojih članov poskrbeti, da je posameznik pri zbiranju osebnih podatkov ustrezno obveščen o obdelavi njegovih osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP uvodoma splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. Splošna uredba v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

V kolikor torej v konkretnem primeru obstaja ena izmed zgoraj naštetih podlag za obdelavo osebnih podatkov člana društva, je takšna obdelava skladna z zakonodajo. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru društva), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Društvo mora torej zagotoviti zakonitost obdelave osebnih podatkov svojih članov.

IP je za obdelavo osebnih podatkov v društvih sprejel tolmačenje, da kadar društva izvajajo dejavnosti, ki jih določajo pravila delovanja društva (statut in drugi temeljni oziroma interni akti društva), potem obdelava osebnih podatkov praviloma poteka na podlagi zgoraj citirane točke (b) oziroma točke (f) prvega odstavka 6. člena Splošne uredbe.

Več o tem si lahko preberete v smernicah IP z naslovom »Društva in varstvo osebnih podatkov«, ki so dosegljive na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Drustva_in_varstvo_osebnih_podatkov.pdf

IP ob tem pojasnjuje tudi, da je sprejel načelno mnenje glede ustreznih pravnih podlag za obdelavo osebnih podatkov v društvih (mnenje IP št. 0712-1/2018/622, z dne 15. 3. 2018). Do mnenja lahko dostopate na naslednji povezavi:

https://www.ip-rs.si/mnenja-zvop/splo%C5%A1no-glede-obdelave-osebnih-podatkov-v-dru%C5%A1tvih

Iz navedenega mnenja med drugim torej izhaja, da je pravna podlaga za obdelavo osebnih podatkov članov društva za namen delovanja društva praviloma podana v določbah členov 6(1)(b) ali 6(1)(f) Splošne uredbe. Navedeni pravni podlagi prideta v poštev zlasti v povezavi s pravili delovanja društva, ki jih določajo temeljni ter drugi akti, Zakon o društvih (Uradni list RS, št. 64/11 - UPB, 21/18 – ZNOrg; v nadaljevanju: ZDru-1) in drugi predpisi (v nadaljevanju: pravila za delovanje društva). IP namreč članstvo v društvu razume kot skupek pravic in obveznosti, ki jih član sprejme z včlanitvijo, pravice in obveznosti pa določajo prej navedena pravila za delovanje društva, ki veljajo za člane. Pravno razmerje med članom in društvom je za potrebe varstva osebnih podatkov treba razmeti kot pogodbeno razmerje oziroma razmerje, preko katerega se uresničuje zakoniti interes za delovanje društva. Če določeno dejanje obdelave osebnih podatkov v društvu pomeni izvajanje dejavnosti društva, ki je v skladu s pravili delovanja društva, potem je praviloma zagotovljena tudi pravna podlaga za obdelavo v skladu z navedenima določbama 6(1)(b) ali 6(1)(f) Splošne uredbe, ali povedano drugače, obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva in je torej odvisna od nalog in dejavnosti, ki jih določajo pravila za delovanje društva.

Vaše društvo tako kot večina ostalih podobnih organizacij deluje v skladu z določbami ZDru-1, ki v prvem in drugem odstavku 1. člena določa, da je društvo samostojno in nepridobitno združenje, ki ga ustanoviteljice oziroma ustanovitelji skladno s tem zakonom ustanovijo zaradi uresničevanja skupnih interesov. Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Ta vprašanja mora urejati temeljni akt društva, posameznik pa lahko postane član društva pod pogoji, ki jih društvo določi v temeljnem aktu. S temeljnim aktom torej društvo določi način sodelovanja članov društva pri upravljanju društva ter njihove posebne pravice in dolžnosti. Obvezno vsebino temeljnega akta opredeljuje 9. člen ZDru-1, ki v prvem odstavku določa, kaj mora določati temeljni akt društva (med drugim tudi pogoje in način včlanjevanja ter prenehanja članstva), v tretjem odstavku pa določa, da lahko društvo s temeljnim aktom uredi tudi druga vprašanja, pomembna za upravljanje in delovanje društva. ZDru-1 nadalje v prvem odstavku 12. člena določa, da člani društva ter pooblaščene osebe pravnih oseb, članic društva, sodelujejo pri upravljanju društva neposredno ali posredno po predstavnikih, izvoljenih organih oziroma zastopniku društva na način, določen s temeljnim aktom. Priporočljivo je torej, da v svojih aktih čim bolj natančno predpišete, katere osebne podatke članov boste obdelovali in za kakšen namen. Z akti morajo biti na primeren način obveščeni tudi člani.

IP ob tem posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru včlanitev v društvo).

Glede obdelave osebnih podatkov mladoletnih članov velja v splošnem enako kot glede obdelave podatkov polnoletnih članov. Če gre za obdelavo podatkov, ki je potrebna za izvajanje dejavnosti društva, ki jih opredeljujejo tudi pravila delovanja društva, potem obdelava poteka na podlagi točke b) oziroma f) člena 6(1) Splošne uredbe. Treba pa je paziti, da je v društvo mladoletni član veljavno vključen. ZDru-1 v drugem odstavku 11. člena namreč določa, če se v društvo včlani mladoletna oseba do dopolnjenega sedmega leta starosti ali oseba, ki nima poslovne sposobnosti, podpiše pristopno izjavo njen zakoniti zastopnik. Za osebo od sedmega leta do dopolnjenega 15 leta starosti mora zakoniti zastopnik pred njenim vstopom v društvo podati pisno soglasje. V kolikor je mladoletna oseba včlanjena v društvo v skladu z zakonskimi pogoji, veljajo za obdelavo njenih osebnih podatkov zgoraj navedena pravila.

IP dodatno opozarja, da morajo društva pri obdelavi osebnih podatkov svojih članov poskrbeti, da je posameznik pri zbiranju osebnih podatkov ustrezno obveščen o obdelavi njegovih osebnih podatkov. V povezavi s tem člen 13. Splošne uredbe določa, da je upravljavec dolžan v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

-identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

-kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

-namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

-kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

-uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

-kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;

Dodatno drugi odstavek 13. člena Splošne uredbe zahteva zagotovitev nekaterih dodatnih informacij, med drugim tudi o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu. IP je za pomoč upravljavcem pri seznanjanju svojih uporabnikov/strank/članov glede obdelave osebnih podatkov pripravil tudi vzorca obvestil, ki sta dostopna na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/doc/vzorci/VZOREC_OBVESTILA_POSAMEZNIKOM_GLEDE_OBDELAVE_OSEBNIH_PODATKOV.docx

IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov (v konkretnem primeru vaše društvo), ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka