Privolitve članov društva

Datum

24.02.2023

Številka

07121-1/2023/257

Kategorije

Društva, Informiranje posameznika, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da ste predsednica pevskega društva in pripravljate novo spletno stran. Zanima vas, ali lahko na spletni strani objavite imena in priimke članov ter podatek, koliko časa je posameznik član. Vsi člani so podali pristopne izjave, s katerimi izjavljajo, da lahko njihove osebne podatke uporabite za namene društva, npr. za potovanja, tekmovanja in nastopanja. Na izjavi so zapisani ime, priimek, datum rojstva in naslov prebivališča. Sprašujete, ali so vaše privolitve pravilno urejene, ali pa jih je treba obnoviti, saj veste, da je letos v veljavo stopil nov ZVOP-2.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za vsako obdelavo osebnih podatkov mora upravljavec izkazati ustrezno pravno podlago, npr. privolitev po točki (a) prvega odstavka 6. člena Splošne uredbe. Privolitev mora biti vedno prostovoljna, specifična, informirana ter nedvoumna in se lahko kadarkoli prekliče.

Posameznikom morajo biti tudi zagotovljene informacije o obdelavi osebnih podatkov skladno s 13. členom Splošne uredbe (npr. nameni ter pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobje hrambe, itd.).

ZVOP-2 ne spreminja določb Splošne uredbe glede privolitve (ureja pa dopustnost privolitve v javnem sektorju in podrobneje ureja privolitev otroka v storitve informacijske družbe).

Obrazložitev

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora imeti upravljavec za obdelavo osebnih podatkov ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe. Pravne podlage v zasebnem sektorju so npr. privolitev, izvajanje pogodbe, izpolnitev zakonske obveznosti in zakoniti interesi upravljavca.

V konkretnem primeru bi najverjetneje prišla v poštev, kot navajate tudi sami, privolitev posameznika (točka (a) prvega odstavka 6. člena Splošne uredbe). Pojasnjujemo, da mora biti privolitev vedno prostovoljna, specifična, informirana ter nedvoumna in da se lahko kadarkoli prekliče. Upravljavec (društvo) mora natančno opredeliti, kakšen je namen podane privolitve, na kakšen način bodo prejeti podatki obdelani in kje bodo objavljeni. Glede na zahtevo, da mora biti privolitev informirana, mora vsebovati torej naslednje:

-podatek o identiteti upravljavca (naziv društva),

-konkretno opredeljen namen za vsako posamezno obdelavo, za katero je zahtevana posamezna privolitev,

-navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani,

-obstoj pravice do umika privolitve,

-obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov,

-obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.

Poudarjamo, da je treba namene obdelave osebnih podatkov na privolitvi izrecno opredeliti (tudi npr. objavo določenih podatkov na spletni strani) in posamezniku podati možnost, da na obrazcu poda privolitev glede vsakega posameznega namena posebej.

Poseben obrazec za podajo soglasja ni predpisan. Oblika pridobivanja privolitve je v celoti v rokah upravljavca (društva), ki naj poišče način, ki najbolj ustreza konkretni situaciji. Iz dokaznega vidika priporočamo pisno obliko (v papirni ali npr. elektronski obliki), pri čemer je treba tudi zagotoviti, da je umik privolitve mogoč v tako enostavni obliki, kot je bila dana privolitev in da ga je možno kadarkoli izvesti.

Preden posamezniki izpolnijo obrazec s privolitvijo, morajo biti tudi podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov. V zvezi z informiranjem posameznikov lahko uporabite vzorec (Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe)), ki je dostopen na: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Več o privolitvi in njenih obveznih sestavinah lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

ZVOP-2 ne spreminja določb Splošne uredbe glede privolitve, ureja pa dopustnost privolitve v javnem sektorju in podrobneje ureja privolitev otroka v storitve informacijske družbe.

Več koristnih informacij glede obdelave osebnih podatkov v društvih lahko preberete v smernicah Društva in varstvo osebnih podatkov, ki so dostopne na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/društva-in-varstvo-osebnih-podatkov.

Lepo vas pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo