Obdelava osebnih podatkov nekdanjega člana društva

Datum

06.10.2025

Številka

07121-1/2025/1195

Kategorije

Društva, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede obdelave osebnih podatkov nekdanjega predsednika vašega društva, ki z društvom ne želi več nobene komunikacije in prepoveduje nadaljnjo obdelavo njegovih osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Društvo bi lahko obdelavo osebnih podatkov nekdanjega člana društva utemeljevalo na podlagi člena 6(1)(f) Splošne uredbe (legitimni interes), pri čemer bi moralo izkazati da je to nujno potrebno zaradi uresničevanja zakonitih interesov upravljavca (društva) in da nad temi interesi ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo. Iz besedila 21. člena Splošne uredbe izhaja, da je nadaljnja obdelava osebnih podatkov posameznika dopustna tudi v primeru njegovega ugovora, če upravljavec dokaže, da so osebni podatki potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Podobno velja za komunikacijo z nekdanjim članom, kot pojasnjujemo v nadaljevanju mnenja.

Splošna uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, kadar so ti del zbirke ali namenjeni oblikovanju zbirke, ki je strukturirana po določenih merilih in omogoča enostaven dostop do podatkov. Posamezna omemba imena in funkcije nekdanjega predsednika društva v dokumentu na papirju, ki ni del takšne zbirke, zato ne zapade pod Splošno uredbo in ZVOP-2. Če pa bi dokument predstavljal zbirko (npr. bi bil v elektronski obliki, ki omogoča iskanje po kriterijih), bi bila uporaba imena in funkcije lahko dopustna po členu 6(1)(f) Splošne uredbe, ob predhodno izvedenem testu tehtanja.

Društvo lahko obdelavo osebnih podatkov nekdanjih članov društva za namene, ki jih opredeljuje statut, utemeljuje na podlagi člena 6(1)(f) Splošne uredbe. IP ob tem posebej opozarja na načelo najmanjšega obsega podatkov. IP predlaga, da preverite, ali so vsi v statutu navedeni osebni podatki nekdanjih članov nujno potrebni za dosego namenov, za katere naj bi se hranili po izstopu posameznika iz članstva.

Obrazložitev

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih in drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

Spodaj vam podajamo odgovore na vaša vprašanja:

1.Ali lahko na podlagi opisanega ravnanja nekdanjega predsednika društva na podlagi legitimnega interesa še naprej obdelujemo njegove osebne podatke (npr. za namen pravnih postopkov v zvezi z neupravičeno uporabo imena in logotipa društva), kljub njegovi izrecni zahtevi za izbris oziroma prenehanje obdelave?

IP uvodoma poudarja, da je zagotovitev ustrezne pravne podlage za obdelavo osebnih podatkov odgovornost in dolžnost upravljavca. Po mnenju IP, bi društvo (upravljavec) obdelavo osebnih podatkov nekdanjega člana društva lahko utemeljevalo na podlagi člena 6(1)(f) Splošne uredbe (legitimni interes), pri čemer bi moralo izkazati da je to nujno potrebno zaradi uresničevanja zakonitih interesov (zakoniti interes lahko predstavlja uveljavljanje pravnih zahtevkov) upravljavca in da nad temi interesi ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo – upravljavec mora opraviti t. i. test tehtanja (LIA – legitimate interest assessment). Ob tem mora upravljavec izpolniti tudi druge obveznosti, ki jih nalaga Splošna uredba (npr. po obveščenosti posameznikov (13. člen Splošne uredbe)) in upoštevati načelo sorazmernosti (člen 5(1)(c) Splošne uredbe), ki določa, da morajo biti osebni podatki ustrezni relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

V kolikor upravljavec obdelavo osebnih podatkov utemeljuje na podlagi člena 6(1)(f) Splošne uredbe, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadarkoli taki obdelavi ugovarja (člen 21(1) Splošne uredbe). V primeru ugovora posameznika, kot je v vašem primeru, mora upravljavec prenehati obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Iz besedila 21. člena Splošne uredbe torej izhaja, da je nadaljnja obdelava osebnih podatkov posameznika dopustna tudi v primeru njegovega ugovora, če upravljavec dokaže, da so zadevni osebni podatki potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. IP na tem mestu znova opozarja, da morajo biti ti osebni podatki ustrezni in relevantni in omejeni na to, kar je potrebno za namen, za kateri se obdeluje (najmanjši obseg podatkov).

2.Sedaj nekdanji član je bil pred leti predsednik društva in s tem tudi njegov zakoniti zastopnik. Zanima nas, ali smemo njegovo ime v povezavi s funkcijo, ki jo je takrat zasedal, navajati v naših poročilih? Konkretno: recimo, če bi želeli ob obletnici delovanja društva izdati publikacijo, ali lahko v njej zapišemo, kdo je bil v posameznem letu predsednik našega društva?

IP pojasnjuje, da se Splošna uredba uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke (prvi odstavek 2. člena Splošne uredbe). Pojem zbirke je opredeljen v 6. točki prvega odstavka 4. člena in »pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi«. V definicijo zbirke bodo verjetno zajeti vsi nabori podatkov, ki so združeni v skladu z določenimi merili, ki omogočajo, da se podatki brez večjih težav najdejo. Sodišče EU je namreč presodilo, da je zahteva, da mora biti niz osebnih podatkov »strukturiran v skladu s posebnimi merili«, namenjena zgolj temu, da se omogoči, da se podatki o neki osebi enostavno najdejo.[1]

Iz navedenega izhaja, da se bo Splošna uredba za obdelavo osebnih podatkov uporabljala, če gre bodisi za osebne podatke, ki se obdelujejo v celoti ali delno z avtomatiziranimi sredstvi bodisi za osebne podatke, ki so »del zbirke ali so namenjeni oblikovanju dela zbirke« in če je zbirka, v kateri so podatki vsebovani, strukturirana po določenih merilih, ki omogočajo enostavno iskanje in dostop do podatkov. Zbirka je torej sistematičen niz osebnih podatkov, dostopen po določenih merilih (npr. evidenca članov društva). Če bi šlo le za posamezno omembo imena in funkcije nekdanjega predsednika društva v dokumentu, ki se hrani na papirju in ni del strukturirane zbirke, kot jo opredeljuje Splošna uredba, se Splošna uredba (in s tem ZVOP-2) ne bi uporabljala.

V nasprotnem primeru – v kolikor bi poročilo predstavljalo »zbirko« (poročilo se npr. objavi v elektronski obliki, ki omogoča iskanje po določenih kriterijih) – pa bi, po mnenju IP, društvo navedbo imena in funkcije nekdanjega predsednika društva v poročilih društva lahko utemeljevalo na podlagi člena 6(1)(f) Splošne uredbe (legitimni interes), pri čemer bi društvo moralo opraviti t.i. test tehtanja, kot že pojasnjeno v predhodnem vprašanju.

3.Pridržujemo si pravico, da nekdanjega člana kontaktiramo v zvezi s pravnimi ali upravnimi zadevami, ki vplivajo na interese društva (npr. zloraba logotipa, morebitni pravni postopki). Ali je takšna omenjena komunikacija v skladu z določbami ZVOP-2 in Splošne uredbe?

Uporaba osebnih podatkov nekdanjega člana za potrebe opisane komunikacije bi lahko bila utemeljena na podlagi člena 6(1)(f) Splošne uredbe (legitimni interes). Glejte obrazložitev pod vprašanjem 1. zgoraj.

4.Na podlagi Statuta društva ima društvo pravico hraniti določene osebne podatke tudi po izstopu posameznika iz članstva (ime in priimek, EMŠO, rojstni datum (če EMŠO ni znan), datum opravljenega testiranja, podatki o morebitni sankcionirani izključitvi in njenem trajanju, vrsta izključitve in trajanje sankcije). Ti podatki se hranijo z namenom vodenja evidence testiranj in preprečevanja neupravičene včlanitve v društvo. Dostop do podatkov je omejen na samo določene osebe. Pod katerimi pogoji je nadaljnja obdelava osebnih podatkov dopustna?

Vaše društvo tako kot večina ostalih podobnih organizacij deluje v skladu z določbami ZDru-1, ki v prvem in drugem odstavku 1. člena določa, da je društvo samostojno in nepridobitno združenje, ki ga ustanoviteljice oziroma ustanovitelji skladno s tem zakonom ustanovijo zaradi uresničevanja skupnih interesov. Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Ta vprašanja mora urejati temeljni akt društva (statut), posameznik pa lahko postane član društva pod pogoji, ki jih društvo določi v temeljnem aktu. Obvezno vsebino temeljnega akta opredeljuje 9. člen ZDru-1, ki v prvem odstavku določa, kaj mora določati temeljni akt društva (med drugim tudi pogoje in način včlanjevanja ter prenehanja članstva), v tretjem odstavku pa določa, da lahko društvo s temeljnim aktom uredi tudi druga vprašanja, pomembna za upravljanje in delovanje društva.

Društvo lahko obdelavo osebnih podatkov nekdanjih članov društva za namene, ki jih opredeljuje statut, utemeljuje na podlagi člena 6(1)(f) Splošne uredbe. IP ob tem posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. IP predlaga, da preverite, ali so vsi v statutu navedeni osebni podatki nekdanjih članov nujno potrebni za dosego namenov, za katere naj bi se hranili po izstopu posameznika iz članstva. V skladu z načelom omejitve shranjevanja (člen 5(1)(e) Splošne uredbe) so lahko osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.

Lepo vas pozdravljamo.

Pripravila

Sandra Kajtazović, univ. dipl. prav.

dr. Jelena Virant Burnik,

informacijska pooblaščenka

---

[1]Glej sodbo C-25/17, Jehovan todistajat, odst. 57.