- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Obdelava OP članov nevladne organizacije
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Obdelava OP članov nevladne organizacije
Datum
19.12.2023
Številka
07121-1/2023/1593
Kategorije
Društva, Pravne podlage
Pri Informacijskem pooblaščencu (IP) smo 8. 12. 2023 prejeli vaše zaprosilo za mnenje glede obdelave osebnih podatkov v nevladni organizaciji, ki ji predsedujete.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za vsako zakonito obdelavo osebnih podatkov obstajati ena izmed pravnih podlag, kot določa 1. odstavek 6. člena Splošne uredbe. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.
V osebne podatke lahko vpogledujejo le tiste osebe, ki te podatke nujno potrebujejo za opravljanje svojih delovnih nalog, in sicer zgolj v obsegu zasledovanja konkretnega namena, za katerega so bili osebni podatki primarno pridobljeni.
Upravljavec mora z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. Osebni podatki morajo biti v času prenosa po e-pošti ustrezno zavarovani, pri čemer so postopki in ukrepi za zavarovanje odvisni od tveganja, ki ga predstavlja prenos in narava osebnih podatkov, ki se prenašajo (npr. vsebina in občutljivost vsebine pošiljke).
Obrazložitev
IP uvodoma pojasnjuje, da mora upravljavec (v vašem primeru torej nevladna organizacija) za vsako obdelavo osebnih podatkov osebnih podatkov zagotoviti ustrezno pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe in so sledeče:
-privolitev (točka (a)),
-sklenitev ali izvajanje pogodbe (točka (b)),
-zakon (točka (c)),
-zaščita življenjskih interesov posameznika (točka (d)),
-izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1),
-zakoniti interesi upravljavca, ki ne prevladajo nad interesi in pravicami posameznika (točka (f)).
V praksi to pomeni, da mora nevladna organizacija, v kolikor želi zakonito obdelovati osebne podatke (npr. zbirati telefonske številke in elektronske naslove članov), zagotoviti eno izmed zgoraj navedenih pravnih podlag. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.
Pri tem je pomembno, da upravljavec spoštuje temeljno načelo varstva osebnih podatkov – načelo najmanjšega obsega podatkov. V skladu z navedenim načelom morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. To pomeni, da lahko upravljavec obdeluje le tiste podatke, ki so potrebni za konkretne namene obdelave, v nasprotnem primeru je obdelava podatkov nesorazmerna in lahko predstavlja kršitev določb Splošne uredbe.
Glede vašega vprašanja, katere osebe lahko vpogledujejo v omenjen seznam, splošno pojasnjujemo, da lahko v osebne podatke vpogledujejo le tiste osebe, ki te podatke nujno potrebujejo za opravljanje svojih delovnih nalog, in sicer zgolj v obsegu zasledovanja konkretnega namena, za katerega so bili osebni podatki primarno pridobljeni. Prav tako mora biti obdelava (kamor šteje tudi vpogled) v skladu z internimi akti, ki opredeljujejo pravila delovanja vaše organizacije.
V zvezi s pošiljanjem osebnih podatkov po e-pošti pojasnjujemo, da področje varnosti obdelave osebnih podatkov ureja 32. člen Splošne uredbe, ki določa, da mora upravljavec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. Upravljavec mora torej poskrbeti, da obdelava osebnih podatkov poteka na način, da se med drugim preprečuje nepooblaščen dostop (torej tudi že sam vpogled) do osebnih podatkov pri njihovem prenosu (vključno s prenosom po telekomunikacijskih sredstvih in omrežjih). Iz navedenega izhaja, da morajo biti osebni podatki v času prenosa po e-pošti ustrezno zavarovani, pri čemer so postopki in ukrepi za zavarovanje odvisni od tveganja, ki ga predstavlja prenos in narava osebnih podatkov, ki se prenašajo (npr. vsebina in občutljivost vsebine pošiljke).
IP je o pravnih podlagah za obdelavo osebnih podatkov v društvih že odgovarjal, zato vas za podrobnejši odgovor napotujemo na mnenje št. 07121-1/2023/1419 z dne 14. 11. 2023: https://www.ip-rs.si/mnenja-zvop-2/obdelava-op-%C4%8Dlanov-dru%C5%A1tva-1700470809.
V upanju, da smo vam pomagali, vas lepo pozdravljamo,
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka