Posredovanje OP članom društva

Datum

04.11.2024

Številka

07121-1/2024/1355

Kategorije

Društva

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja osebnih podatkov članom društva.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva, odvisna pa je od nalog in dejavnosti, ki jih določajo pravila za delovanje društva.

Dostop do podatkov, ki se nanašajo na člane in dejavnost društva, je odvisen od nalog in s tem povezanih pravic in dolžnosti posameznih članov, organov in članov s funkcijami, ki so določene v pravilih za delovanje društva in je zato to predmet notranje organizacije društva.

Društvo mora skrbeti, da do osebnih podatkov, s katerimi upravlja oziroma jih obdeluje, dostopajo zgolj pooblaščene osebe.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne more presojati skladnosti sklepa društva oziroma potrebe po njegovem zadržanju.

IP uvodoma splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s prvim odstavkom 6. člena Splošne uredbe je obdelava tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V kolikor bi torej v konkretnem primeru obstajala ena izmed zgoraj naštetih podlag za obdelavo (v konkretnem primeru posredovanje) osebnih podatkov članom društva, bi bila takšna obdelava skladna z zakonodajo. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru društva), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Društvo mora torej zagotoviti zakonitost obdelave osebnih podatkov svojih članov.

IP je za obdelavo osebnih podatkov v društvih sprejel tolmačenje, da kadar društva izvajajo dejavnosti, ki jih določajo pravila delovanja društva (statut in drugi temeljni oziroma interni akti društva), potem obdelava osebnih podatkov praviloma poteka na podlagi zgoraj citirane točke (b) oziroma točke (f) prvega odstavka 6. člena Splošne uredbe.

Več o tem si lahko preberete v smernicah IP z naslovom »Društva in varstvo osebnih podatkov«, ki so dosegljive na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Drustva_in_varstvo_osebnih_podatkov.pdf

IP ob tem pojasnjuje tudi, da je sprejel načelno mnenje glede ustreznih pravnih podlag za obdelavo osebnih podatkov v društvih (mnenje IP št. 0712-1/2018/622, z dne 15. 3. 2018). Iz navedenega mnenja med drugim torej izhaja, da je pravna podlaga za obdelavo osebnih podatkov članov društva za namen delovanja društva praviloma podana v določbah členov 6(1)(b) ali 6(1)(f) Splošne uredbe. Navedeni pravni podlagi prideta v poštev zlasti v povezavi s pravili delovanja društva, ki jih določajo temeljni ter drugi akti, Zakon o društvih (Uradni list RS, št. 64/11 - UPB, 21/18 – ZNOrg; v nadaljevanju: ZDru-1) in drugi predpisi (v nadaljevanju: pravila za delovanje društva). IP namreč članstvo v društvu razume kot skupek pravic in obveznosti, ki jih član sprejme z včlanitvijo, pravice in obveznosti pa določajo prej navedena pravila za delovanje društva, ki veljajo za člane. Pravno razmerje med članom in društvom je za potrebe varstva osebnih podatkov treba razmeti kot pogodbeno razmerje oziroma razmerje, preko katerega se uresničuje zakoniti interes za delovanje društva. Če določeno dejanje obdelave osebnih podatkov v društvu pomeni izvajanje dejavnosti društva, ki je v skladu s pravili delovanja društva, potem je praviloma zagotovljena tudi pravna podlaga za obdelavo v skladu z navedenima določbama 6(1)(b) ali 6(1)(f) Splošne uredbe, ali povedano drugače, obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva in je torej odvisna od nalog in dejavnosti, ki jih določajo pravila za delovanje društva. Pri društvih se osebni podatki članov torej lahko obdelujejo brez njihove privolitve, če društva obdelujejo podatke v zvezi s svojo dejavnostjo, kar lahko člani upravičeno pričakujejo (npr. vabljenje na seje društva, obračun članarine, itd.). Kadar pa gre za dejavnost obdelave podatkov, ki je člani ne bi mogli upravičeno pričakovati (ker npr. to ni predvideno z notranjimi akti), potem je obdelava osebnih podatkov praviloma dopustna na podlagi njihove privolitve.

Vaše društvo tako kot večina ostalih podobnih organizacij deluje v skladu z določbami ZDru-1, ki v prvem in drugem odstavku 1. člena določa, da je društvo samostojno in nepridobitno združenje, ki ga ustanoviteljice oziroma ustanovitelji skladno s tem zakonom ustanovijo zaradi uresničevanja skupnih interesov. Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Ta vprašanja mora urejati temeljni akt društva, posameznik pa lahko postane član društva pod pogoji, ki jih društvo določi v temeljnem aktu. S temeljnim aktom torej društvo določi način sodelovanja članov društva pri upravljanju društva ter njihove posebne pravice in dolžnosti. Obvezno vsebino temeljnega akta opredeljuje 9. člen ZDru-1, ki v prvem odstavku določa, kaj mora določati temeljni akt društva (med drugim tudi pogoje in način včlanjevanja ter prenehanja članstva), v tretjem odstavku pa določa, da lahko društvo s temeljnim aktom uredi tudi druga vprašanja, pomembna za upravljanje in delovanje društva. ZDru-1 nadalje v prvem odstavku 12. člena določa, da člani društva ter pooblaščene osebe pravnih oseb, članic društva, sodelujejo pri upravljanju društva neposredno ali posredno po predstavnikih, izvoljenih organih oziroma zastopniku društva na način, določen s temeljnim aktom. Priporočljivo je torej, da društva v svojih aktih čim bolj natančno predpišejo, katere osebne podatke članov bodo obdelovala in za kakšen namen. Z akti morajo biti na primeren način obveščeni tudi člani.

Glede dostopa do podatkov, ki se nanašajo na člane in dejavnost društva, IP pojasnjuje, da je to odvisno od nalog in s tem povezanih pravic in dolžnosti posameznih članov, organov in članov s funkcijami, ki so določene v pravilih za delovanje društva in je zato to predmet notranje organizacije društva. Pravila varstva osebnih podatkov v zvezi s tem zahtevajo, da se osebni podatki v društvu obdelujejo varno, skladno s 24. in 32. členom Splošne uredbe, zlasti tako, da se prepreči neupravičen dostop, razkritje, izguba ali uničenje podatkov, ipd. V okvir skladnosti za varno obdelavo osebnih podatkov sodi tudi interna določitev dostopa do zbirk glede na naravo nalog posameznih članov ali organov v društvu, zato mora društvo v internih aktih oziroma pravilih za delovanje društva samo določiti, kateri organi oziroma člani s funkcijami so odgovorni za posamezne zbirke osebnih podatkov in kateri člani, organi, oziroma člani s funkcijami imajo zaradi narave njihovega dela oziroma opravljanja njihovih nalog dostop do določenih zbirk in osebnih podatkov. Ob tem pa IP opozarja, da so vsi tisti, za katere bi se presodilo, da se v okviru društva lahko seznanijo z določenimi osebnimi podatki, seveda dolžni te podatke varovati in jih ne smejo posredovati naprej brez ustrezne pravne podlage ali celo obdelovati za druge namene.

IP na podlagi navedenega povzema, da gre v primeru, ki ga opisujete v vašem zaprosilu za mnenje, za vprašanje interne organizacije dela, poslovanja in upravljanja društva, ki mora skrbeti, da do osebnih podatkov, s katerimi upravlja oziroma jih obdeluje, dostopajo zgolj pooblaščene osebe. Ob tem IP pojasnjuje, da neselektivno posredovanje osebnih podatkov vsem članom društva najverjetneje ne bi bilo v skladu s predpisi s področja varstva osebnih podatkov oziroma v tem mnenju navedenimi pojasnili, ob tem pa IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja ne more presojati o upravičenosti posredovanja podatkov, saj je to stvar interne organizacije društva. IP lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov (v konkretnem primeru vaše društvo), ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka