Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 18.03.2019
Naslov: OP članov
Številka: 0712-1-2019/365
Vsebina: Društva
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem navajate, da ste pri urejanju vaših dokumentov na način, da bodo čim bolj skladni z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016, naleteli na nekaj vprašanj. Trenutno uporabnice in uporabnike (v nadaljevanju: uporabniki) v vaše programe vključujete na podlagi dogovorov o vključitvi v programe. V teh dogovorih uporabniki podpišejo, da podajajo privolitev v zbiranje, obdelavo in shranjevanje kontaktnih osebnih podatkov in podatkov, ki jih posameznik prostovoljno preda društvu z namenom nudenja pomoči. Uporabnike tudi obvestite, da boste njihove podatke hranili 20 let po zadnjem obisku. Podatke hranite tako dolgo za namene kazenskega postopka, ker so svetovalke in svetovalci v postopkih, v katerih so udeleženi uporabniki, lahko vabljeni kot priče in pregon kaznivih dejanj, ki jih izvršijo uporabniki oziroma katerih žrtve so, (večinoma) zastara v 20 letih od storitve kaznivega dejanja. Zanima vas, ali lahko podatke uporabnikov hranite tudi po morebitnem preklicu zaradi potreb kazenskega (ali katerega drugega) postopka. Ali bi se lahko navedena hramba (po preklicu) razumela kot obdelava za zaščito življenjskih interesov posameznika ali za opravljanje nalog v javnem interesu? V povezavi s tem ste tudi razmišljali, če ni podlaga za obdelavo osebnih podatkov vaših uporabnikov pravzaprav pogodba (za uspešno svetovalno delo, ki ga opravljate, je namreč nujno, da vam uporabniki razkrivajo informacije o sebi in udeležba v programih brez tega pravzaprav ni mogoča), v primeru, da pa uporabnik pogodbo razdre (npr. preneha obiskovati svetovanja ali izrecno pove, da izstopa iz programa), pa se ti podatki hranijo zaradi zaščite življenjskih interesov posameznika oziroma zaradi opravljanja nalog v javnem interesu.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora ustreznosti izpolnjevanja določb Splošne uredbe s strani upravljavcev ne more presojati.

 

V konkretnem primeru bi lahko bila pravna podlaga za obdelavo osebnih podatkov vaših uporabnikov podana v odstavku (1)(b) člena 6, saj z uporabniki sklepate dogovore o vključitvi v programe in je tako obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Tako lahko na tej podlagi obdelujete osebne podatke, ki jih potrebujete za izvajanje pogodbe, oziroma izvedbo svojega programa, pri čemer morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (odstavek (1)(c) člena 5 Splošne uredbe). Obdelujete lahko torej le tiste osebne podatke uporabnikov, ki jih potrebujete za izvedbo programa, če pa želite obdelovati (iste ali dodatne) osebne podatke za druge namene, pa morate za to pridobiti soglasje uporabnikov in v primeru preklica tega soglasja morate te podatke prenehati obdelovati.

 

Osebne podatke lahko obdelujete le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (odstavek (1)(e) člena 5 Splošne uredbe), v vašem primeru do zaključka izvajanja programa za konkretnega uporabnika oz. do zaključka morebitnih s tem povezanih postopkov. 20-letni zastaralni rok ne more biti razlog za hrambo osebnih podatkov, saj so bili osebni podatki zbrani za namen izvajanja pogodbe in za vse avtomatično ni razbrati razlogov, da bi se ti podatki obdelovali še 20 let po prenehanju tega izvajanja. Eventualno bi to lahko bilo upravičeno v primeru, da se postopek začne že v času zakonite hrambe podatkov v zvezi s pogodbo, in sicer zgolj za tiste podatke, ki so povezani s takim postopkom, ne pa za vse na zalogo, razen če bi morda pogodba določala drugače ali bi za to pridobili ustrezno osebno privolitev. Ob tem poudarjamo, da je treba pri hrambi in nadaljnji obdelavi upoštevati tudi določila stroke glede varovanja poklicne zaupnosti in mora za vsako posredovanje obstajati ustrezna pravna podlaga. O primerih v zvezi s sumi nasilja so na primer organizacije, kot je vaša, v skladu s členom 6 Zakona o preprečevanju nasilja v družini in v obsegu, ki ga ta določa, dolžne posredovati CSD (v teh posamičnih primerih bi eventualno v določeni meri prav tako prišla v poštev glede na konkretno presojo daljša hramba).   

     

V zvezi z zbiranjem osebnih podatkov posameznikov pa IP opozarja na člen 13 Splošne uredbe, v katerem je določeno katere informacije mora upravljavec posamezniku zagotoviti v primeru, da se podatki pridobijo neposredno od posameznika. V skladu z recitalom 61 bi bilo treba posameznike, na katere se nanašajo osebni podatki, o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo posamezniku. Informacije, s katerim morate seznaniti posameznika, lahko posredujete tudi na posebnem obrazcu, v pomoč vam je lahko obrazec, ki se nahaja na naši spletni strani: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

 

Lepo vas pozdravljamo,

                                                                                                

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka