Obdelava osebnih podatkov v društvih

Datum

19.02.2026

Številka

07121-1/2026/142

Kategorije

Društva

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede

vpogleda v listo prisotnih članov na Občnem zboru društva in drugih vprašanj glede obdelave osebnih podatkov v društvih.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ni pristojen za razlago predpisov glede delovanja društev, zato vam lahko poda zgolj splošne usmeritve s področja varstva osebnih podatkov.

Upravljavec mora poskrbeti za usklajenost s Splošno uredbo, npr. da obstaja ustrezna pravna podlaga za obdelavo osebnih podatkov in da so podatki ustrezno zavarovani. Društvo kot upravljavec mora samo določiti, s katerimi osebnimi podatki se lahko posamezni člani in organi društva seznanijo v okviru izvajanja svojih nalog.

Tudi če je član društva upravičen dostopati do določenih dokumentov društva na podlagi določb Zakona o društvih, to še ne pomeni, da je avtomatično upravičen tudi do vpogleda ali drugačne vrste obdelave osebnih podatkov drugih članov društva, temveč mora imeti za to ustrezno pravno podlago iz prvega odstavka 6. člena Splošne uredbe.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP ni pristojen za razlago predpisov glede delovanja društev, zato vam lahko poda zgolj splošne usmeritve s področja varstva osebnih podatkov. Društva morajo svoje poslovanje urediti sama v okviru Zakona o društvih (Uradni list RS, št. 64/11 - UPB, 21/18 – ZNOrg; v nadaljevanju: ZDru-1) in drugih predpisov za posamezno področje (kot npr. Zakon o športu, predpisi Olimpijskega komiteja Slovenije in morebitni predpisi panožnih zvez).

IP uvodoma splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. Splošna uredba v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V kolikor torej v konkretnem primeru obstaja ena izmed zgoraj naštetih podlag za obdelavo osebnih podatkov člana društva, je takšna obdelava skladna z zakonodajo. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru društva), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Društvo mora torej zagotoviti zakonitost obdelave osebnih podatkov svojih članov. IP je za obdelavo osebnih podatkov v društvih sprejel tolmačenje, da kadar društva izvajajo dejavnosti, ki jih določajo pravila delovanja društva (statut in drugi temeljni oziroma interni akti društva), potem obdelava osebnih podatkov praviloma poteka na podlagi zgoraj citirane točke (b) oziroma točke (f) prvega odstavka 6. člena Splošne uredbe. Več o tem lahko najdete v mnenju IP (št. 0712-1/2018/622, z dne 15. 3. 2018), do katerega lahko dostopate na naslednji povezavi:

https://www.ip-rs.si/mnenja-zvop/splo%C5%A1no-glede-obdelave-osebnih-podatkov-v-dru%C5%A1tvih

IP je izdal tudi smernice z naslovom »Društva in varstvo osebnih podatkov«, ki so dosegljive na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Drustva_in_varstvo_osebnih_podatkov.pdf

V navedenih smernicah lahko najdete številna pojasnila v zvezi z obdelavo osebnih podatkov v okviru društev. V smernicah je med drugim pojasnjeno, da upravičenost člana društva do obveščenosti na podlagi določb ZDru-1, ki se nanaša predvsem na dostop do temeljnega akta društva, drugih splošnih aktov društva, zapisnikov sej organov (razen če je ta pravica posebej izključena) in tudi drugih informacij o delovanju društva, ne omogoča tudi dostopa do osebnih podatkov. To pomeni, da četudi je član društva upravičen dostopati do določenih dokumentov društva na podlagi določb ZDru-1, to še ne pomeni, da je avtomatično upravičen tudi do vpogleda ali drugačne vrste obdelave osebnih podatkov drugih članov društva, temveč mora imeti za to ustrezno pravno podlago iz zgoraj navedenega prvega odstavka 6. člena Splošne uredbe. V primeru, da pravna podlaga za razkritje osebnih podatkov ne obstaja, član pa je do dokumentov upravičen na podlagi ZDru-1, se mu slednji posredujejo brez osebnih podatkov (npr. s prekritjem).

Glede tega, katere osebe v društvu imajo lahko dostop do podatkov, ki se nanašajo na člane in dejavnost društva, IP pojasnjuje, da je to odvisno od nalog in s tem povezanih pravic in dolžnosti posameznih članov, organov in članov s funkcijami, ki so določene v pravilih za delovanje društva in je zato to predmet notranje organizacije društva. Pravila varstva osebnih podatkov v zvezi s tem zahtevajo, da se osebni podatki v društvu obdelujejo varno, skladno s 24. in 32. členom Splošne uredbe, zlasti tako, da se prepreči neupravičen dostop, razkritje, izguba ali uničenje podatkov, ipd. V okvir skladnosti za varno obdelavo osebnih podatkov sodi tudi interna določitev dostopa do zbirk glede na naravo nalog posameznih članov ali organov v društvu, zato mora društvo v internih aktih oziroma pravilih za delovanje društva samo določiti, kateri organi oziroma člani s funkcijami so odgovorni za posamezne zbirke osebnih podatkov in kateri člani, organi, oziroma člani s funkcijami imajo zaradi narave njihovega dela oziroma opravljanja njihovih nalog dostop do določenih dokumentov, zbirk in osebnih podatkov.

IP ponovno poudarja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov (v konkretnem primeru društvo), ki nosi tudi odgovornost za tovrstno opravljeno presojo.

IP sklepno poudarja še, da ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij, ocen ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti konkretnega obrazca, ki ste ga priložili vašemu zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov. IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. IP poudarja, da je upravljavec (v konkretnem primeru društvo) dolžan posameznika (v konkretnem primeru člane) seznaniti z nameni, za katere bodo pridobljeni podatki (v konkretnem primeru EMŠO) uporabljeni, pravno podlago za njihovo obdelavo ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. in 14. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne.

IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov

IP opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izpolnitev posamičnega zakonitega namena obdelave. To pomeni, da osebnih podatkov ni dopustno zbirati »na zalogo«, ampak je pridobivanje posameznih vrst osebnih podatkov in njihova uporaba dopustna v primeru jasno izkazane pravne podlage, torej če so ti osebni podatki (v konkretnem primeru EMŠO) potrebni za konkreten zakonit namen. IP vam svetuje, da se obrnete neposredno na društvo z zahtevo za pojasnila, zakaj in na kateri pravni podlagi želijo obdelovati podatek o EMŠO.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka