Upravljavec osebnih podatkov v primeru včlanitve v združenje, ki je član zveze

Datum

14.06.2023

Številka

07121-1/2023/802

Kategorije

Društva

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste kot združenje priključeni zvezi združenj. Kot združenje imate svoje člane, zveza pa trdi, da so lahko na pristopnih izjavah navedeni podatki zveze (in ne združenja), pa še vedno lahko vi kot združenje upravljate s podatki, ker ste del zveze. Zanima vas, ali je vaša pristopna izjava, ki jo pripenjate, primerna.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavec osebnih podatkov je tisti subjekt, ki določa namene in sredstva obdelave. V zvezi s člani bo to običajno društvo in ne zveza društev, vendar IP opozarja, da morate to razčistiti sami (lahko tudi v sodelovanju z zvezo društev), pri čemer vam je lahko v pomoč naše mnenje ter smernice "Društva in varstvo osebnih podatkov". Subjekt, ki ga opredelite kot upravljavca osebnih podatkov, mora biti naveden v informacijah posameznikom o obdelavi osebnih podatkov. Pred obdelavo (tudi zbiranjem) osebnih podatkov morate posameznikom namreč podati nabor informacij, ki jih določa 13. člen Splošne uredbe, ki med drugim zajema identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; komu boste posredovali osebne podatke itd.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

IP žal ne more komentirati konkretnih pristopnih izjav, lahko pa zgolj na splošno povemo, da je treba pred vsakršno obdelavo osebnih podatkov zagotoviti jasne, pregledne, lahko razumljive informacije o obdelavi osebnih podatkov. Pravico do informacij o obdelavi osebnih podatkov namreč ureja 13. člen Splošne uredbe, ki določa nabor informacij, ki jih mora upravljavec osebnih podatkov zagotoviti posamezniku, kadar se osebni podatki pridobijo od njega, med drugim: identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

Iz navedenega sledi, da je treba že pred obdelavo osebnih podatkov natančno razčistiti, kdo je upravljavec osebnih podatkov, na kateri pravni podlagi in za kakšen namen bo obdeloval osebne podatke ter druge relevantne elemente zakonite obdelave osebnih podatkov.

Iz vašega sporočila in priložene pristopne izjave izhaja, da ni jasno razdelano in posamezniku razvidno, kdo je sploh upravljavec njegovih osebnih podatkov.

IP na načelni ravni meni, da je upravljavec osebnih podatkov v odnosu član-društvo (oziroma združenje) zadevno društvo in ne zveza društev (oziroma zveza združenj). Zveza društev ali združenj je ločena pravna oseba in tudi ločen upravljavec osebnih podatkov. Tako velja vsaj načeloma, kajti v vsakem posameznem primeru je treba izhajati iz definicije upravljavca osebnih podatkov – to pa je fizična ali pravna oseba, ki sama ali skupaj z drugimi določa namene in sredstva obdelave.

Vprašati se torej morate, kdo določa namene, za katere se obdelujejo osebni podatki, in kdo določa sredstva, s katerimi se obdelujejo osebni podatki. Če je to društvo oziroma združenje, je slednje tudi upravljavec osebnih podatkov in mora biti na informacijah za posameznike (na primer na pristopni izjavi) navedeno torej društvo oziroma združenje. Iz vašega sporočila izhaja, da naj bi le združenje komuniciralo s člani, jim pošiljalo vabila na slovesnosti in tudi sicer naj bi bilo s člani v odnosu le združenje, ne zveza. Če bi iz teh in ostalih okoliščin, ki so znane samo vam, sledilo, da namene in sredstva obdelave osebnih podatkov določa združenje, je upravljavec osebnih podatkov združenje in ne zveza.

Glede na to, da gre za dve ločeni pravni osebi, IP opozarja na to, da mora biti tudi vsako posredovanje osebnih podatkov članov združenja zvezi zakonito, torej utemeljeno na ustrezni pravni podlagi.

Obstaja verjetnost, da bi se podatki o članstvu v vašem združenju šteli za podatke, ki razkrivajo "politično mnenje, versko ali filozofsko prepričanje" (prvi odstavek 9. člena Splošne uredbe). Obdelava takšnih podatkov je praviloma prepovedana, izjeme od tega pravila pa so določene v drugem odstavku 9. člena, in sicer v primeru (navajamo le primere, ki bi utegnili biti relevantni za vaš primer):

-ko je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1 (točka (a) drugega odstavka 9. člena)

-ko obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki (točka (d) drugega odstavka 9. člena).

Svetujemo vam, da si za več informacij preberete smernice IP z naslovom "Društva in varstvo osebnih podatkov", dostopna na: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/dru%C5%A1tva-in-varstvo-osebnih-podatkov.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov