Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.06.2018
Naslov: Obveščanje članov in nečlanov o delovanju društva
Številka: 0712-3/2018/758
Vsebina: Društva
Pravni akt: Mnenje

dne 19. 4. 2018 ste se obrnili na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje glede obdelave osebnih podatkov v manjšem likovnem društvu. Zanima vas, kako naj uredite varovanje osebnih podatkov svojih članov, da bo to skladno z novo Splošno uredbo (Uredba (EU) 2016/679). Pojasnjujete, da na leto organizirate med 5-10 dogodkov (odprtje, delavnica), o katerih obveščate vaše obiskovalce, ki so člani in tudi ne-člani društva. Pojasnjujete, da ste bazo naslovov zbirali skozi leta (več kot 15) na različne načine:

1. Kopiranje naslovov iz podobnih prejetih sporočil.

2. Prepisovanje z vizitk ipd.

3. Na odprtjih so obiskovalci na lističe zapisali svoje e-naslove, kjer smo navedli, da so namenjeni pošiljanju vabil na dogodke. Lističev nismo ohranili, ko smo enkrat naslov vnesli v Outlook.

4. Včasih je kdo zaprosil (e-mail, telefon, ustno), da njega ali prijatelja dodate na seznam, dokumentacije o tem pa niste ustvarjali ali hranili.

 

Pod vsako poslano sporočilo dopišete, da se je možno odjaviti tako, da naslovnik odgovori z besedo odjava ali kako drugače pojasni, da ne želi več prejemati sporočil. Vse želje upoštevate. Dogodki na katere vabite, so večinoma brezplačni, v redkih primerih (delavnica) nekaj stanejo.

 

Podobno, kot opisano, zgoraj vodite tudi zbirko fizičnih naslovov, kamor pošiljate vabila po navadni pošti.

 

Zanima vas, ali boste morali pridobiti privolitve, da boste lahko vabila pošiljali še naprej?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanj.

 

IP pojasnjuje, da se obveščanje članov društva glede dejavnosti društva lahko šteje med namene delovanja društva. Ko društva obdelujejo osebne podatke svojih članov za namen delovanja društva (kot to določajo akti društva), jih obdelujejo na podlagi člena 6 (1b) Splošne uredbe, ki pravi, da je obdelava zakonita, kadar je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. IP torej meni, da se v smislu Splošne uredbe, članstvo v društvu lahko razume kot pogodbeno razmerje, kjer član z včlanitvijo prevzame določene obveznosti in hkrati pridobi določene pravice glede sodelovanja v društvu (razmerje med članom in društvom ali zvezo društev je opredeljeno v aktih društva in zveze).

 

Kadar je ustrezno, pa je po mnenju IP je obdelava osebnih podatkov članov društva lahko dopustna tudi na podlagi člena 6 (1f) Splošne uredbe, ki pravi, da je obdelava zakonita, če je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Na področju neposrednega trženja je posredovanje komercialnih sporočil (po elektronski pošti in po navadni pošti) dopustno tudi brez predhodne privolitve, če je organizacija podatke zbrala v okviru zakonitega opravljanja dejavnosti (npr. od svojih strank). Pri tem pa mora organizacija zagotoviti, da se lahko do prejemanja komercialnih sporočil prejemnik kadarkoli »odjavi« (drugi odstavek 158. člena ZEKom-1 in prvi odstavek 72. člena ZVOP-1).

 

IP meni, da dejavnosti društva, ki so po svoji naravi nekomercialne narave (niso namenjene ustvarjanju dobička), načeloma najverjetneje ne štejejo med dejavnosti katerih namen je neposredno trženje. Iz navedenega sledi, da lahko za namen obveščanja o dogodkih društva, ki ne sodijo na področje neposrednega trženja, ne velja ureditev po 72. členu ZVOP-1 oziroma 158. členu ZEKom-1. IP ob tem ugotavlja, da ne bi bilo smotrno, če bi za dejavnosti likovnega društva, ki vključuje neprofitno obveščanje o dogodkih društev (ki navsezadnje gojijo tudi razvoj kulture), veljale strožje zahteve glede varstva zasebnosti posameznikov, kot za dejavnosti neposrednega trženja. Uredba v zvezi z dejavnostjo neposrednega trženja celo navaja, da se obdelava osebnih podatkov za neposredno trženje lahko šteje za opravljeno v zakonitem interesu (uvodna določba 47 Splošne uredbe). S tem uredba namiguje na uporabo podlage po členu 6 (1f), kadar gre za izvajanje neposrednega trženja. Ker je obveščanje javnosti o dogodkih, ki jih izvaja likovno društvo, podobno neposrednemu trženju, IP meni, da je obveščanje vaših obiskovalcev dopustno pod pogoji določbe 6 (1f) Splošne uredbe. Z drugimi besedami, če ste torej zbrali podatke vaših zainteresiranih obiskovalcev v okviru zakonitega opravljanja dejavnosti (npr. prek osebnega kontakta, obiska razstave, vizitke, itd.), potem IP meni, da lahko obveščanje izvajate na podlagi člena 6 (1f) Splošne uredbe. Slednje pomeni, da privolitev ni potrebna, ko gre za obveščanje oseb, po elektronski pošti oziroma po navadni pošti, od katerih ste pridobili kontakte v okviru zakonitega opravljanja dejavnosti. Ker pa je podlaga po točki (f) odvisna od tehtanja sorazmernosti posega v zasebnost posameznika, je odgovornost za pravilno izvedbo tehtanja na upravljavcu.  

 

Dodajamo še, da ima po členu 21 Splošne uredbe posameznik, na katerega se nanašajo osebni podatki pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (f) člena 6(1) Splošne uredbe. Po izrecni določbi uredbe pa mora organizacija na to pravico posameznika tudi izrecno opozoriti najpozneje ob prvem komuniciranju z njim in mu to pravico predstaviti jasno in ločeno od vseh drugih informacij.

 

Ob zgoraj navedenem IP opozarja, da mora vsaka organizacija zagotoviti, da je osebne podatke zakonito zbrala (npr. prek neposrednega kontakta (e-sporočilo, vizitka …), iz podatkov javno objavljenih virov, če gre npr. za novinarje, itd.). Na ta način morajo biti organizacije zlasti pozorne, če imajo npr. podatke brez neposrednega kontakta z obiskovalcem (npr. z »prek prijatelja« ali z »odkupom adreme«), potem je takšna zbirka lahko nezakonita. 

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati. Za dodatne informacije smo na voljo v času dežurstva tudi po telefonu na 01 230 97 30.

 

 

Lep pozdrav,

 

Pripravil:

 

 

Anže Novak, univ. dipl. prav.

 

Mojca Prelesnik

Asistent svetovalca IP

 

informacijska pooblaščenka