Splošno glede obdelave osebnih podatkov v društvih

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Informacijski pooblaščenec RS (v nadaljevanju IP) zaznava povečano število vprašanj v zvezi z obdelavo osebnih podatkov članov društev zaradi prihajajoče nove evropske ureditve varstva osebnih podatkov. Dne 25. 5. 2018 se bo namreč pričela uporabljati Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), ki bo »nasledila« ZVOP-1. Po dosedanjem tolmačenju veljavnega ZVOP-1 je bila osebna privolitev članov (ki so privolitev v obdelavo njihovih osebnih podatkov za namene delovanja društva podali hkrati z včlanitvijo) ustrezna podlaga za obdelavo osebnih podatkov za namene delovanja društva, ki so predvideni s splošnimi akti društva.

Po novi ureditvi, ki postavlja strožje pogoje za privolitev pa takšno tolmačenje ne bo več ustrezno, če privolitev ne bo zadostila vsem zahtevam Splošne uredbe. Zato v predmetnem mnenju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) podajamo nekaj splošnih pojasnil glede možnih pravnih podlag za obdelavo osebnih podatkov članov društev. Društva pa morajo glede na namene obdelave presoditi, katere pravne podlage pridejo v posameznih primerih v poštev za posamezne obdelave osebnih podatkov in v katerih primerih bo potrebno za določene obdelave (npr. objave osebnih podatkov na spletu) vendarle pridobiti veljavne privolitve po novi Splošni uredbi.

IP meni, da so lahko podlage za obdelavo osebnih podatkov članov društev naslednje:

- osebna privolitev (člen 6 (1a) Splošne uredbe,

- zakon, ki določa obveznost društva glede zbiranja in/ali določenih oblik obdelave osebnih podatkov,

- obdelava osebnih podatkov v zvezi s pogodbo oziroma pogodbenim razmerjem (člen 6 (1b) Splošne uredbe),

- kadar obstaja zakoniti interes, ki prevlada nad interesom ali temeljnimi pravicami in svoboščinami posameznika - člen 6 (1f) Splošne uredbe.

Osebna privolitev kot temelj za obdelavo osebnih podatkov bi prišla v poštev pod pogojem, da so izpolnjeni vsi spodaj pojasnjeni pogoji. V praksi najverjetneje predvsem v situacijah, ko obdelava osebnih podatkov ni potrebna za izvajanje temeljnih dejavnosti društva (zlasti npr. ko bi šlo za posredovanje tretjim osebam, kar vključuje tudi javno objavo, ki ni potrebna za delovanje društva).

Posebej opozarjamo na obveznosti v zvezi z obdelavo posebnih vrst osebnih podatkov – v tem primeru je obdelava dopustna pod pogoji iz člena 9 (2 d) Splošne uredbe že na podlagi same uredbe, saj določba člena 9 (2d) Splošne uredbe predstavlja neposredno zakonsko podlago za obdelavo osebnih podatkov.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da društva v okviru svojega delovanja nedvomno obdelujejo osebne podatke svojih članov (v kolikor so člani fizične osebe). Za vsako obdelavo osebnih podatkov mora obstajati ustrezna pravna podlaga. Dopustne pravne podlage obdelavo osebnih podatkov (še veljavni) ZVOP-1 določa v 10. členu, kjer izhaja, da se osebni podatki v zasebnem sektorju praviloma obdelujejo na podlagi osebne privolitve in na podlagi zakona.

Nova Splošna uredba, ki bo »nasledila« ZVOP-1 pravne podlage za obdelavo osebnih podatkov predpisuje v členu 6(1). Za posamezni namen mora biti pred začetkom obdelave znano, na kateri pravni podlagi obdelava poteka in, če gre v določenem primeru in namenu za obdelavo na podlagi zakona, člena 6 (1b) Splošne uredbe, člena 6 (1f) Splošne uredbe ali člena 9 (2 d) Splošne uredbe, potem posebno pridobivanje privolitev ni potrebno, mora pa biti posameznik ob zbiranju osebnih podatkov seznanjen z nameni, za katere se bodo osebni podatki obdelovali (več o tem v nadaljevanju).

Vsekakor pa morajo društva preveriti ali je posameznik pri zbiranju osebnih podatkov ustrezno obveščen, komu daje podatke, katere in zakaj ter kakšne pravice ima? Priporočamo, da si v zvezi z obveznostmi upravljavcev glede seznanitev posameznikov z določenimi informacijami glede obdelave, ki so potrebne za zagotavljanje transparentnosti obdelav preberete smernice delovne skupine WP 29 glede obveznosti upravljavcev po 13. in 14. člena Splošne uredbe (https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/Guidelines_on_Transparency_under_Regulation_2016679__wp260.pdf).

Osebna privolitev kot temelj za obdelavo osebnih podatkov članov društev (člen 6 (1a) Splošne uredbe) bi lahko prišla v poštev zlasti, ko bi šlo npr. za posredovanje osebnih podatkov tretjim osebam (npr. javna objava na spletni strani, ki ni potrebna za uresničevanje temeljnih nalog delovanja društva). Javna objava predstavlja hkrati tudi zelo velik poseg v zasebnost posameznika, ki pa je redko upravičen z vidika izvajanja nalog društva (kot izvajanja pogodbe po 6 (1b) Splošne uredb) oziroma kot zakoniti interes društva, ki prevlada nad pravico posameznika (podlaga 6 (1f) Splošne uredbe). V tem primeru se IP zdi primerno, da od posameznikov društvo pridobi osebno privolitev, ki hkrati tudi v največji meri zagotavlja posameznikom oblast nad njihovimi osebnimi podatki (pred obdelavo lahko posameznik zavrne podajo privolitve in posledično se objava ne sme izvesti). Takšno postopanje je tudi v skladu z načelom poštene obdelave osebnih podatkov iz člena 5 (1a) Splošne uredbe. IP še opozarja, da je privolitev tolmačena kot prostovoljna in s tem veljavna le, če posameznik zaradi zavrnitve podaje privolitve ne zapade v slabši položaj.

1. Obdelava osebnih podatkov na podlagi privolitve posameznika

V dosedanjih mnenjih, ki so objavljena na naši spletni strani v zvezi z obdelavo osebnih podatkov članov društev je IP tolmačil, »da so pravice posameznika v okviru njegovega delovanja znotraj določene organizacije omejene s pravili delovanja organizacije, saj posameznik s svojo včlanitvijo v organizacijo poda osebno privolitev in strinjanje s pravili, na katerih deluje organizacija, vendar pa navedeno ne pomeni, da se lahko omenjeni podatki javno objavijo, temveč so, v kolikor je takšna odločitev sprejeta, na zahtevo dostopni članom kolektivne organizacije, javno pa so ti osebni podatki lahko dostopni le ob predhodni privolitvi posameznika, na katerega se nanašajo« (mnenje IP 0712-1/2016/1422, z dne 6. 7. 2016 in mnenje št. 0712-2/2010/1145, z dne 24. 6. 2010).

IP pojasnjuje, da bo skladno s strožjimi zahtevami glede veljavnosti privolitve po novi evropski zakonodaji s področja varstva osebnih podatkov, privolitev morala biti:

• konkretna,
• informirana in
• razumljiva izjava,
• dana z nedvoumnim pritrdilnim dejanjem in
• dokazljiva.

Zato je ne bo več mogoče podati na tako splošen način, kot je splošno strinjanje s pravili, kot jih določajo pravila organizacije (akti društva).

Pri tolmačenju določb Splošne uredbe je treba upoštevati tudi Smernice delovne skupine po členu 29 (WP 29), ki podajajo enotno stališče glede uporabe posamezne določbe Splošne uredbe. Privolitev, kot temelj za obdelavo osebnih podatkov je po uredbi urejen strožje, kot je to določal ZVOP-1. WP 29 v Smernicah o soglasju z dne 28.11.2017 posebej poudari pomen prostovoljnosti privolitve. Privolitev je po novem lahko prostovoljna le, če zavrnitev podaje osebne privolitve ne povzroči manj ugodnega položaja za posameznika. Iz preteklega mnenja IP izhaja, da je posameznik pri včlanitvi v društvo privolil v obdelavo svojih osebnih podatkov na vse načine, kot to določajo pravila delovanja društva, ki so zapisana ločeno od privolitvene (ali včlanitvene) izjave in s katerimi morda konkretno ni bil podrobneje seznanjen ter se lahko tudi spreminjajo. Slednje je podobno podaji privolitve za namene obdelav, ki so predvidene s splošnimi pogoji poslovanja poslovnega subjekta, kar pa po Splošni uredbi ni dopustno, saj takšna privolitev ni ustrezno informirana. Iz navedenega izhaja, da je lahko osebna privolitev ustrezna pravna podlaga za obdelavo osebnih podatkov članov društev, ki so zbrani neposredno od posameznikov za namene delovanja društva le v primeru, da bi bil dejansko član ob podaji privolitve ustrezno seznanjen z vsemi nameni obdelave ter drugimi podatki, ki jih zahteva Splošna uredba. Hkrati pa bi moralo društvo ob spremembi teh namenov v aktih društva pridobivati novo privolitev.

WP 29 v Smernicah o soglasju izpostavi tudi člen 7 (4) Splošne uredbe o varstvu podatkov, ki določa, da se pri ugotavljanju, ali je bila privolitev dana prostovoljno, med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe. WP 29 glede navedene določbe pojasni, da je treba razločiti obdelavo za namen izvajanja pogodbe (kjer je podlaga člen 6 (1b) Splošne uredbe) in obdelavo za drug namen, za katerega je lahko podana osebna privolitev. Za namen izvajanja pogodbe se lahko obdeluje tiste osebne podatke, ki so nujni za izvrševanje pogodbe, ne pa tudi drugih osebnih podatkov. Za druge obdelave – ki niso nujne za izvajanje pogodbe – je potrebna druga pravna podlaga. Slednje je za upravljavce pomembno tudi zaradi obveznosti obveščanja, kadar se podatki zbirajo neposredno od posameznika iz 13. člena Splošne uredbe, po katerem morajo upravljavci zagotoviti med drugim tudi informacijo o namenih, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo (13 (1c) Splošne uredbe).

Glede na zgoraj navedeno torej osebna privolitev najpogosteje zaradi narave delovanja društev najverjetneje ne bo ustrezna pravna podlaga za obdelavo osebnih podatkov članov društev za namen delovanja društva, kot to izhaja iz temeljnega ali drugih aktov društva. IP zato meni, da je treba iskati podlago za obdelavo osebnih podatkov članov društev s strani društva v drugih pravnih podlagah.

1. Obdelava osebnih podatkov v zvezi s pogodbo - 6 (1b) člen Splošne uredbe

IP meni, da v kolikor gre za podlage za obdelavo osebnih podatkov, bi se lahko včlanitev v društvo obravnavala kot »sklenitev pogodbe« (drugi odstavek 10. člena ZVOP-1 oziroma 6 (1b) člen Splošne uredbe o varstvu podatkov). Včlanitev v društvo je namreč tudi sicer v določenih pogledih podobno obligacijsko-pravnemu razmerju družbene pogodbe po Obligacijskem zakoniku (Uradni list RS, št. 97/07 – uradno prečiščeno besedilo in 64/16 – odl. US), ki je urejena v členih 990 do 1002 in je tudi v teoriji opredeljena kot obligacijsko-pravna pogodba.[1]

Besedo »pogodba« je treba po mnenju IP v kontekstu drugega odstavka 10. člena ZVOP-1 in 6 (1b) člena Splošne uredbe razumeti širše, kot ozko gledano velja za pogodbe menjalnega tipa, kjer so njihove temeljne lastnosti odplačnost, dvostranskost in vzajemnost. Kot navedeno, ima članstvo v društvu nekatere podobne značilnosti kot družbena pogodba. Za družbeno pogodbo je na primer značilen skupen namen, načelo enakosti družbenikov, kjer družbeniki po svojih prispevkih sooblikujejo pogodbeno voljo – namen delovanja družbe.[2] Glede na ureditev po Zakonu o društvih (Uradni list RS, št. 64/11 – uradno prečiščeno besedilo; ZDru-1) je združevanje v društva prostovoljno in namenjeno skupnemu sodelovanju pri uresničevanju določenih (skupnih) interesnih ciljev, kar sovpada z značilnostmi obligacijskega razmerja pri družbeni pogodbi (skupen namen, skupno prispevanje k uresničevanju ciljev, prostovoljno oziroma svobodno združevanje). Treba je tudi poudariti, da so društva pravne osebe zasebnega prava, ki ne glede na praviloma nepridobitno naravo dejavnosti, delujejo v interesu svojih članov. Dalje IP ugotavlja, da ureditev po ZDru-1 predstavlja uresničevanje 43. člena Ustave RS, ki je ustavni nastavek za vse vrste osebnih združevanj, ki so urejene v RS (tudi gospodarske družbe, ki se v določenih delih po svojem delovanju zelo približujejo prej omenjeni družbi civilnega prava, kot posledici družbene pogodbe[3]). Glede na navedeno utemeljitev IP meni, da bi ob odsotnosti konkretnejše zakonske ureditve obdelave osebnih podatkov članov v Zakonu o društvih najpogosteje podlago za obdelavo osebnih podatkov članov društva lahko iskali v zvezi s »pogodbo«.

Po določbi 6 (1b) Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. »Pogodben odnos« v konkretnem primeru je članstvo v društvu. »Potrebne za izvajanje pogodbe« so po mnenju IP tiste vrste obdelav, ki so vezane na članstvo, kamor spada na primer tudi vodenje seznama članov društva, vabljenje članov društva na zbor članov in podobno. Za obdelave osebnih podatkov, ki so neločljivo povezane s samim članstvom v društvu in delovanjem društva v skladu z nameni, ki so opredeljeni v temeljnih aktih društva, je torej podlaga za obdelavo osebnih podatkov 6 (1b) člen Splošne uredbe ali drugi odstavek 10. člena ZVOP-1.

Za ostale vrste obdelav, ki niso nujno povezane s temi nameni, pa bi lahko prišle v poštev tudi druge zgoraj omenjene pravne podlage.

Primer 1: seznanitev članov z osebnimi podatki kandidatov na volitvah za organe društva v skladu z njegovimi splošnimi akti (obveščanje članov o kandidatih za predstavnike društva je bistven del organiziranja društva, način obveščanja pa je na primer predpisan s pravilnikom delovanja društva).

Primer 2: posredovanje zapisnikov seje društva, ki vsebuje osebne podatke prisotnih članov in njihove izjave drugim članom društva, v kolikor je to potrebno in primerno za namen obveščanja članov o delovanju društva (način in namene obveščanja lahko predpišejo splošni akti društva).

Ob navedenem IP poudarja, da je treba za vsako obdelavo osebnih podatkov upoštevati tudi načelo sorazmernosti, ki je po Splošni uredbi vsebovano v členu 5 (omejitev namena, najmanjši obseg podatkov). 

1. Obdelava osebnih podatkov potrebna zaradi zakonitih interesov društva - 6 (1f) člen Splošne uredbe

V nekaterih primerih lahko ustrezno pravno podlago za obdelavo osebnih podatkov članov društva predstavlja tudi določba 6 (1 f) Splošne uredbe, po kateri je obdelava zakonita tudi, če je potrebna zaradi zakonitih interesov (ang. »legitimate interests«), za katere si prizadeva upravljavec ali tretja oseba (konkretno torej društvo), razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Smiselno podobno določa tudi (še) veljaven tretji odstavek 10. člena ZVOP-1, po katerem se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.  Iz določb 6 (1 f) po Splošni uredbi in tretjega odstavka 10. člena ZVOP-1 je podlaga za obdelavo povezana s tehtanjem posega v interese posameznika oziroma temeljne pravice in svoboščine posameznika, upravljavci pa morajo posamezniku v primeru, ko se osebni podatki na tej pravni podlagi zbirajo neposredno od njega, ob zbiranju osebnih podatkov med drugim zagotoviti tudi informacije o zakonitih interesih, za katere se prizadeva upravljavec ali tretja oseba (13 (1d) Splošne uredbe).

1. Obdelava posebnih vrst (doslej znanih kot občutljivih) osebnih podatkov - 9 (2d) člen Splošne uredbe

IP dalje pojasnjuje, da je za obdelavo posebnih vrst osebnih podatkov (kadar gre za tovrstne podatke o članih) treba upoštevati 4. točko 13. člena ZVOP-1 oziroma člen 9 (2d) Splošne uredbe, ki predstavlja neposredno zakonsko podlago za obdelavo takšnih podatkov. Obdelava posebnih vrst osebnih podatkov (ali občutljivih osebnih podatkov po ZVOP-1) se nanaša na obdelavo podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Obdelava posebnih vrst osebnih podatkov je po izrecni določbi 9 (1) Splošne uredbe načeloma prepovedana. Izjeme določa le Splošna uredba, ki v členu 9 (2d) določa, da je (izjemoma) dopustna obdelava, ki jo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki.

Navedeno določbo je po mnenju IP treba torej razumeti kot neposredno zakonsko podlago za obdelavo osebnih podatkov članov društev, ki že zaradi posebnega interesa združevanja obdelujejo posebne vrste osebne podatke svojih članov (npr. invalidska društva, društva bolnikov, itd.). Glede na navedeno, bi se obdelava v tem primeru štela za zakonito, če se osebni podatki obdelujejo za namene zakonitih dejavnosti društva (seveda ob zagotovitvi ustreznih tehničnih in drugih zaščitnih ukrepov ter spoštovanju načel obdelave osebnih podatkov iz člena 5 Splošne uredbe), kot so le-te opredeljene v zakonu ali v splošnem aktu društva. Pisno privolitev pa bi društvo za obdelavo teh podatkov potrebovalo vselej v primeru, ko bi se osebni podatki članov obdelovali za druge namene ali posredovali tretjim osebam.

Upam, da smo s tem mnenjem uspeli razjasniti nekatera vprašanja v zvezi z obdelavo osebnih podatkov članov društev.

Lep pozdrav,

[1] B. Zabel, Obligacijski zakonik (posebni del) s komentarjem, 4. knjiga, GV založba, Ljubljana 2004, str. 932.

[2] prav tam.

[3] prav tam, str. 936.