Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 12.09.2018
Naslov: Privolitve po Splošni uredbi o varstvu podatkov (ang. GDPR) in pravna podlaga za obdelavo podatkov
Številka: 0712-3/2018/1540
Vsebina: Sindikati
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, v katerem sprašujete o ustreznosti trenutne pristopne izjave za včlanitev v vaš sindikat. Zanima vas, ali morate od vaših članov, ki so pristopili v sindikat na podlagi pristopne izjave (v priponki) še enkrat na novo pridobiti soglasje za obdelavo osebnih podatkov, v katerem bi morali soglasje prilagoditi zahtevam Splošne uredbe. Ali pa je ta izjava z vidika obstoječih članov ustrezna in izjavo prilagodite samo za vnaprej, ko se bodo včlanjevali novi člani.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. IP v zvezi s tem poudarja, da izven postopka inšpekcijskega nadzora ali drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru svojih pristojnosti IP ustreznosti posameznih privolitev tako ne komentira, saj lahko njihovo skladnost s predpisi presoja le v okviru inšpekcijskega ali drugega upravnega postopka.

 

IP poudarja, da tudi po Splošni uredbi pravna podlaga ni nujno zgolj privolitev, ampak lahko (odvisno od namena) pravno podlago, če so za to izpolnjeni pogoji predstavlja tudi katera od drugih točk prvega odstavka člena 6 Splošne uredbe. Za vsako obdelavo osebnih podatkov torej mora imeti sindikat kot upravljavec ustrezno in zakonito pravno podlago. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden izmed pogojev, določenih v členu 6(1) ali 9(2) Splošne uredbe. Obdelavo posebnih vrst osebnih podatkov, med katere sodi tudi podatek, ki razkriva članstvo v sindikatu, ureja člen 9 Splošne uredbe, po katerem je obdelava takšnih osebnih podatkov dopustna le v primerih, če je izpolnjen kateri od pogojev, ki jih taksativno določa drugi odstavek tega člena. Možne pravne podlage za obdelavo osebnih podatkov članov sindikatov, odvisno od konkretnega namena obdelave, bi bile lahko po Splošni uredbi eventualno vse podlage iz drugega odstavka člena 9.

 

Za obdelavo drugih osebnih podatkov, ki ne pomenijo posebnih vrst osebnih podatkov, pa bi v poštev prišle pravne podlage po 6. členu Splošne uredbe, na primer naslednje:

- privolitev po točki a člena 6.1,

- izpolnitev zakonske obveznosti, ki velja za upravljavca po točki c člena 6.1 ali

- zakoniti interesi upravljavca po točki f člena 6.1.

 

Splošna uredba v točki d) člena 9(2) določa, da je dopustna obdelava osebnih podatkov, ki jo izvajajo sindikati v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane sindikata ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki. Morajo pa biti posamezniki vedno ustrezno seznanjeni z vsemi informacijami o obdelavi, kot to zahteva člen 13 (kadar se osebni podatki pridobijo od posameznika) oziroma člen 14 (kadar se osebni podatki ne pridobijo od posameznika) Splošne uredbe. IP zato v zvezi z zbiranjem in obdelavo osebnih podatkov članov sindikata v okviru zakonitih dejavnosti sindikata in brez posredovanja zunaj sindikata uvodoma priporoča, da pregledate pristopne izjave, ki so jih člani sindikata podpisali za vstop v sindikat oz. druge interne akte, v katerih je opredeljeno delovanje sindikata in s katerimi so člani ustrezno seznanjeni. Zahtevam Splošne uredbe je namreč z vidika zagotavljanja pravne podlage zadoščeno, če v pristopni izjavi (ali na drug ustrezen način) navedeno, kateri osebni podatki se zbirajo in za katere namene znotraj sindikata in druge informacije iz člena 13 oziroma 14 Splošne uredbe. Sindikat pa mora poskrbeti tudi za vse druge vidike varstva, kot so zagotavljanja varnosti pri obdelavi, vzpostavitev evidence obdelav ipd. (več o ključnih področjih najdete na naši spletni strani: www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/). Za obdelavo na podlagi točke d) člena 9(2) Splošne uredbe (torej za zgoraj navedene namene) ne potrebujete dodatne privolitve, ampak se presoja zakonitost in veljavnost včlanitve glede na civilnopravne predpise. Vsekakor pa to ne velja za posredovanje izven sindikata npr. delodajalcu.

 

Za druge namene pa morate torej zagotoviti ustrezno drugo pravno podlago, kot navedeno zgoraj. Privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni skladno s točko 11) člena 4 Splošne uredbe vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Veljavna privolitev mora tako zadostiti štirim zahtevam, in sicer mora biti:

  •  prostovoljna,
  •  specifična,
  •  informirana in
  •  nedvoumna.

 

Glede na navedeno IP meni, da za tiste namene, za katere obdelujete osebne podatke na podlagi privolitve, ki mora biti v primeru obdelave posebnih vrst osebnih izrecna (točka a) člena 9(2)), zgolj podpis pristopne izjave za članstvo v sindikatu, četudi vsebuje tudi navedbo, da delavec »Dovoljuje(m) zbiranje (mojih) osebnih podatkov, ki so nujno potrebni sindikatu«, ne more pomeniti veljavne privolitve, saj je takšna izjava premalo določna in zato ne ustreza definiciji privolitve iz točke 11) člena 4 Splošne uredbe. Le pavšalna navedba, da je obdelava teh osebnih podatkov potrebna »nujna sindikatu« namreč ne zadostuje, saj takšna privolitev ni ne specifična niti informirana. Konkreten, ekspliciten in legitimen namen pa je predpogoj za pridobitev veljavne privolitve. Če obdelava podatkov vključuje več namenov, mora biti privolitev dana za vsak namen posebej. Več o pogojih za veljavno privolitev si lahko preberete na spletni strani IP, ki je dostopna na naslednji povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

 

V zvezi z vprašanjem, ki se nanaša na ustreznost pristopne izjave, pa IP pojasnjuje, da ni pristojen za svetovanje glede ustreznosti postopka včlanitve v sindikat, temveč lahko (nezavezujoče) svetuje le glede vprašanj, ki se nanašajo neposredno na varstvo osebnih podatkov.

 

IP še dodaja, da mora biti posameznik v vseh navedenih primerih ob zbiranju osebnih podatkov seznanjen, na kateri pravni podlagi obdelava poteka in za kakšne namene se bodo osebni podatki obdelovali. Informacije morajo biti posamezniku skladno z 12. členom Splošne uredbe zagotovljene v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. To pomeni, da morajo biti informacije o obdelavi osebnih podatkov jasno ločene od ostalih informacij, lahko so podane tudi granulirano na več stopenj, posameznik pa mora razumeti, kaj je bistvena posledica obdelave. Skladno s 13. in 14. členom Splošne uredbe mora biti posameznik informiran z nameni, za katere se osebni podatki obdelujejo, kakor tudi s pravno podlago za njihovo obdelavo. Priporočamo, da si v zvezi z obveznostmi upravljavcev glede seznanitev posameznikov z določenimi informacijami glede obdelave, ki so potrebne za zagotavljanje transparentnosti obdelav, preberete smernice delovne skupine WP 29 glede obveznosti upravljavcev po 13. in 14. člena Uredbe: https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja /mnenja_na_eu_ravni/20180413_WP260rev01_Article29WPTransparencyGuidelines.pdf

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

 

    Mojca Prelesnik, univ. dipl. prav.
                      informacijska pooblaščenka