Vpogled v seznam donatorjev

Datum

23.11.2023

Številka

07120-1/2023/503

Kategorije

Občine, Posredovanje osebnih podatkov, Pravne podlage, Privolitev

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da ste eden izmed mnogih oškodovanih v nedavnih avgustovskih poplavah. Po tej naravni katastrofi je vaša Občina poleg osnovnega (splošnega) računa za zbiranje donatorskih sredstev odprla še posebni račun samo za vašo družino. Seveda bi se sedaj po zaključku zbiranja sredstev radi zahvalili vsem donatorjem, vendar pa tu nastopi ovira zaradi varovanja osebnih podatkov.... IP zato prosite za mnenje oz. odobritev vaše seznanitve s seznamom donatorjev (gre za fizične in pravne osebe), saj je bil ta račun odprt izključno za vas in ste tudi vse, ki so vas spraševali kam in kako nakazati sredstva, usmerjali na omenjeni račun na Občini, ki mu zaupate in ste računali, da boste potem lahko seznam videli. Na samem začetku je bilo tudi rečeno, da boste imeli vpogled. Pomemben vam je namreč vsak posameznik, ki vam je v teh težkih trenutkih bil pripravljen priskočiti na pomoč, vam finančno pomagati. Najmanj, kar lahko storite, je to, da jim izrazite hvaležnost, poleg tega vas tudi nekateri donatorji sami sprašujejo, ali lahko preverite prilive.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP), posredujemo naše neobvezujoče mnenje v zvezi vašim vprašanjem.

1.IP meni, da bi se ob upoštevanju načel in pravnih podlag za obdelavo osebnih podatkov iz 5. in 6. člena Splošne uredbe, osebni podatki donatorjev, ki so fizične osebe, lahko razkrili prejemniku doniranih sredstev pod pogojem:

-da je posamezen donator za takšno razkritje določenih svojih osebnih podatkov podal veljavno osebno privolitev (pogoj iz (a) točke prvega odstavka 6. člena Splošne uredbe);

-da je takšno razkritje potrebno za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se osebni podatki nanašajo (pogoj iz (b) točke prvega odstavka 6. člena Splošne uredbe).

2.IP ne pozna razmerij in dogovorov med občino, ki je odprla poseben transakcijski račun za zbiranje donacij ter družino oziroma posameznikom, za katerega so se sredstva zbirala ter ne ve, ali je med njima dejansko sploh nastalo kakšno pogodbeno razmerje, zaradi česar vam mnenja glede izpolnjevanja pogoja iz (b) točke prvega odstavka 6. člena Splošne uredbe ne more podati.

3.Osebni podatki donatorjev, ki so fizične osebe, bi se tako po mnenju IP lahko prejemniku doniranih sredstev praviloma razkrili le za tiste donatorje, ki so za takšno razkritje določenih svojih osebnih podatkov podali veljavno osebno privolitev.

Obrazložitev

IP uvodoma poudarja, da izven konkretnih nadzornih ali drugih upravnih postopkov ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov. V okviru mnenja vam lahko podamo zgolj splošna pojasnila, priporočila in usmeritve, odgovornost za zakonito in pošteno obdelavo osebnih podatkov pa je vedno na upravljavcu osebnih podatkov.

IP še dodaja, da se predmetno mnenje nanaša zgolj na donatorje, ki so fizične osebe (posamezniki), ne pa tudi na donatorje, ki so pravne osebe ali pa so sredstva donirali kot poslovni subjekti ter da podaja mnenj, ki se nanaša na posredovanje podatkov o pravnih osebah in poslovnih subjektih ne sodi v pristojnost IP.

Obdelava osebnih podatkov, kamor se po določbi 2. točke 4. člena Splošne uredbe med drugim šteje tudi uporaba, razkritje s posredovanjem ter razširjanje ali drugačno omogočanje dostopa do osebnih podatkov, je v skladu s prvim odstavkom 6. člena Splošne uredbe zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) se ne uporablja za obdelavo osebnih podatkov s strani javnih organov pri opravljanju njihovih nalog.

Poleg zgoraj navedenih pravnih podlag za zakonito obdelavo osebnih podatkov je pri obdelavi osebnih podatkov treba vedno upoštevati tudi temeljna načela v zvezi z obdelavo osebnih podatkov, ki so določena v prvem odstavku 5. člena Splošne uredbe. V primeru posredovanja oziroma razkrivanja podatkov, je treba upoštevati zlasti: a) načelo zakonitosti, pravičnosti in preglednosti, po katerem morajo biti osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se ti podatki nanašajo; b) načelo omejitve namena, po katerem morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; ter c) načelo najmanjšega obsega podatkov, po katerem morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Upravljavec osebnih podatkov je odgovoren za skladnost z načeli iz prvega odstavka 5. člena Splošne uredbe in mora biti to skladnost tudi zmožen dokazati (načelo odgovornosti).

Pravna podlaga za obdelavo osebnih podatkov iz točke (c) in (e) prvega odstavka 6. člena Splošne uredbe se po določbi drugega odstavka 6. člena ZVOP-2 šteje za zakonito le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe določa zakon. Glede na to, da noben področni zakon ne ureja posredovanja oziroma razkrivanja osebnih podatkov donatorjev prejemniku donacij, da v primeru takšnega razkrivanja osebnih podatkov ne gre obdelavo, ki je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe, ter da se v primeru obdelave s strani občine kot pravna podlaga za obdelavo osebnih podatkov praviloma ne more uporabljati točka (f) prvega odstavka 6. člena Splošne uredbe, je mogoče zato pravno podlago za posredovanje podatkov donatorjev prejemniku donacij presojati zgolj z v okviru točke (a) (privolitev posameznika) in točke (b) (izvajanje pogodbe) prvega odstavka 6. člena Splošne uredbe.

IP ne pozna razmerij in dogovorov med občino, ki je odprla poseben transakcijski račun za zbiranje donacij ter družino oziroma posameznikom, za katerega se so sredstva zbirala ter ne ve, ali je med njima glede na zakon, ki ureja obligacijska razmerja, dejansko sploh nastalo kakšno pogodbeno razmerje, kdo so stranke morebitnega takšnega pogodbenega razmerja ter ali za izvajanje takšnega pogodbenega razmerja potrebno prejemniku donacij dejansko razkriti določene osebne podatke donatorjev, zaradi česar vam mnenja glede izpolnjevanja pogoja iz (b) točke prvega odstavka 6. člena Splošne uredbe ne more podati.

Osebni podatki donatorjev, ki so fizične osebe, bi se tako po mnenju IP lahko prejemniku doniranih sredstev praviloma razkrili le za tiste donatorje, ki so za takšno razkritje določenih svojih osebnih podatkov podali veljavno osebno privolitev. Takšno privolitev se praviloma pridobiti že ob zbiranju osebnih podatkov, dopustno in možno pa je, da jo upravljavec pridobi tudi naknadno.

Splošna uredba v 11. točki 4. člena privolitev posameznika, na katerega se nanašajo osebni podatki, definira kot vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Pogoji za privolitev so določeni v 7. členu Splošne uredbe, kjer je v prvem odstavku določeno, da kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatkov, privolil v obdelavo svojih osebnih podatkov. V tretjem odstavku je še določeno, da posameznik, na katerega se nanašajo osebni podatki, ima pravico, da privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati

Iz zgoraj citiranih določb 4. in 7. člena Splošne uredbe izhaja, da je pri obdelavi osebnih podatkov na podlagi privolitve posameznika potrebno posebno pozornost nameniti ustreznemu informiranju posameznikov o vseh pomembnih vidikih obdelave osebnih podatkov, in sicer tako, da bo posameznik razumel vsebino privolitve (zlasti komu daje privolitev in s čim soglaša), poleg tega pa mora biti pred podajo privolitve obveščen tudi o tem, da lahko privolitev kadar koli prekliče ter da preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Vrste informacij, ki jih je potrebno dati posamezniku ob zbiranju njegovih osebnih podatkov in pridobivanju privolitev, so določene v prvem in drugem odstavku 13. člena Splošne uredbe. Splošna uredba ne določa oblike, kako naj bodo informacije posredovane (ustno, pisno, avdio ali video sporočilo), pomembno je, da so informacije dane v jasnem in preprostem jeziku, ki ga lahko povprečna oseba razume, da upravljavec lahko dokaže, da so bile takšne informacije posamezniku ob zbiranju osebnih podatkov in pridobivanju privolitev dejansko dane ter da je posameznik soglasje za obdelavo določenih svojih osebnih podatkov izrazil z jasnim pritrdilnim ravnanjem. IP priporoča, da se takšne informacije zagotovijo v pisni obliki ter da so takšne informacije za posamezne obdelave objavljene in lahko dostopne na spletnih straneh upravljavca.

Več informacij o privolitvi lahko najdete na spletni strani IP, na naslovu https://www.ip-rs.si/?id=102.

IP na koncu še dodaja, da se osebni podatki donatorjev, ki so fizične osebe, praviloma ne štejejo kot prosto dostopne informacije javnega značaja. Poleg tega se postavlja tudi vprašanje, ali je posameznik, za katerega so se zbirala sredstva, upravičen do dostopa do podatkov o donacijah in donatorjih na podlagi zahteve za seznanitev z lastnimi osebnimi podatki po 15. členu Splošne uredbe, saj bi moral upravljavec (imetnik transakcijskega računa) pred posredovanjem podatkov o donatorjih, ki so fizične osebe, ugotoviti, ali za razkritje osebnih podatkov posamezniku kot prejemniku doniranih sredstev obstaja katera od omejitev iz prvega odstavka 23. člena Splošne uredbe. V tem okviru bi moral pretehtati zlasti omejitev iz točke (i), kjer bi moral presoditi, ali je takšna omejitev potrebna zaradi varstva pravic in svoboščin donatorjev ter pretehtati, v kakšni meri bi razkritje določenih osebnih podatkov donatorjev lahko negativno vplivalo na njihove pravice in svoboščine.

Lep pozdrav,

Pripravil

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka