Varstvo osebnih podatkov članov društva

Datum

25.02.2025

Številka

07121-1/2025/244

Kategorije

Društva, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo 15.2.2025 prejeli vaše zaprosilo za mnenje glede varstva osebnih podatkov članov društva. Zanima vas, ali lahko član društva objavi podatke, zapisnike in ostalo dokumentacijo, ki se nanaša na delovanje društva med ostale njegove člane.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva, odvisna pa je od nalog in dejavnosti, ki jih določajo pravila za delovanje društva.

2. Dostop do podatkov, ki se nanašajo na člane in dejavnost društva, je odvisen od nalog in s tem povezanih pravic in dolžnosti posameznih članov, organov in članov s funkcijami, ki so določene v pravilih za delovanje društva in je zato to predmet notranje organizacije društva.

3. Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Priporočljivo je, da društvo v svojih aktih čim bolj natančno predpiše, katere osebne podatke članov bo obdelovalo in za kakšen namen. Z akti morajo biti na primeren način obveščeni tudi člani.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašimi vprašanji.

Uvodoma splošno pojasnjujemo, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s prvim odstavkom 6. člena Splošne uredbe je obdelava tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V kolikor bi torej v konkretnem primeru obstajala ena izmed zgoraj naštetih podlag za obdelavo (v konkretnem primeru posredovanje) osebnih podatkov članom društva, bi bila takšna obdelava skladna z zakonodajo. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru društva), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Društvo mora torej zagotoviti zakonitost obdelave osebnih podatkov svojih članov.

Pravno razmerje med članom in društvom je za potrebe varstva osebnih podatkov treba razmeti kot pogodbeno razmerje oziroma razmerje, preko katerega se uresničuje zakoniti interes za delovanje društva. Če določeno dejanje obdelave osebnih podatkov v društvu pomeni izvajanje dejavnosti društva, ki je v skladu s pravili delovanja društva, potem je praviloma zagotovljena tudi pravna podlaga za obdelavo v skladu z navedenima določbama 6(1)(b) ali 6(1)(f) Splošne uredbe, ali povedano drugače, obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva in je torej odvisna od nalog in dejavnosti, ki jih določajo pravila za delovanje društva. Društvo lahko obdeluje osebne podatke svojih članov brez njihove privolitve, če obdeluje podatke v zvezi s svojo dejavnostjo, kar lahko člani upravičeno pričakujejo (npr. vabljenje na seje društva, obračun članarine, itd.). Kadar pa gre za dejavnost obdelave podatkov, ki je člani ne bi mogli upravičeno pričakovati (ker npr. to ni predvideno z notranjimi akti), potem je obdelava osebnih podatkov praviloma dopustna na podlagi njihove privolitve.

Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Ta vprašanja mora urejati temeljni akt društva, s katerim se društvo določi tudi način sodelovanja članov društva pri upravljanju društva ter njihove posebne pravice in dolžnosti. Obvezno vsebino temeljnega akta opredeljuje 9. člen ZDru-1, ki v prvem odstavku določa, kaj mora določati temeljni akt društva, v tretjem odstavku pa določa, da lahko društvo s temeljnim aktom uredi tudi druga vprašanja, pomembna za upravljanje in delovanje društva. ZDru-1 nadalje v prvem odstavku 12. člena določa, da člani društva ter pooblaščene osebe pravnih oseb, članic društva, sodelujejo pri upravljanju društva neposredno ali posredno po predstavnikih, izvoljenih organih oziroma zastopniku društva na način, določen s temeljnim aktom. Priporočljivo je torej, da društva v svojih aktih čim bolj natančno predpišejo, katere osebne podatke članov bodo obdelovala in za kakšen namen. Z akti morajo biti na primeren način obveščeni tudi člani.

Glede dostopa do podatkov, ki se nanašajo na člane in dejavnost društva, IP pojasnjuje, da je to odvisno od nalog in s tem povezanih pravic in dolžnosti posameznih članov, organov in članov s funkcijami, ki so določene v pravilih za delovanje društva in je zato to predmet notranje organizacije društva. Pravila varstva osebnih podatkov v zvezi s tem zahtevajo, da se osebni podatki v društvu obdelujejo varno, skladno s 24. in 32. členom Splošne uredbe, zlasti tako, da se prepreči neupravičen dostop, razkritje, izguba ali uničenje podatkov, ipd. V okvir skladnosti za varno obdelavo osebnih podatkov sodi tudi interna določitev dostopa do zbirk glede na naravo nalog posameznih članov ali organov v društvu, zato mora društvo v internih aktih oziroma pravilih za delovanje društva samo določiti, kateri organi oziroma člani s funkcijami so odgovorni za posamezne zbirke osebnih podatkov in kateri člani, organi, oziroma člani s funkcijami imajo zaradi narave njihovega dela oziroma opravljanja njihovih nalog dostop do določenih zbirk in osebnih podatkov. Ob tem pa IP opozarja, da so vsi tisti, za katere bi se presodilo, da se v okviru društva lahko seznanijo z določenimi osebnimi podatki, seveda dolžni te podatke varovati in jih ne smejo posredovati naprej brez ustrezne pravne podlage ali celo obdelovati za druge namene.

Več o obdelavi osebnih podatkov, ki jih obdelujejo društva, si lahko preberete v smernicah IP z naslovom »Društva in varstvo osebnih podatkov«, ki so dosegljive na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Drustva_in_varstvo_osebnih_podatkov.pdf

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka