Piškoti

Splošna uredba o varstvu podatkov (GDPR)

Začetek uporabe: 25.5.2018

Uredba, ki se nanaša na obdelavo osebnih podatkov, ki jih ima društvo o članih / simpatizerjih / drugih osebah. Osebni podatek je katerakoli informacija v zvezi z določenim in določljivim posameznikom, ki omogoča identifikacijo (npr. kombinacija imena, priimka, e-naslov, fotografija ...).

Preverjanje veljavnosti obstoječih privolitev (vseh članov / oseb katerim se pošilja e-maile, obvestila vseh od katerih imamo osebne podatke v lastni evidenci, tudi če je to le ime in priimek). 6 in 7 člen GDPR Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva. Mora se nanašati na obdelavo osebnih podatkov. 

Evidenca članstva
Evidenco članov z osnovnimi osebnimi podatki smo do sedaj zbirali na podlagi osebne privolitve, ki je bila vključena na pristopno izjavo člana. Nova uredba določa, da mora biti privolitev konkretna, informirana in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva. Pristopna izjava te pogoje izpolnjuje. Poleg tega pa uredba predvideva možnost, da se osebni podatki članov društva obdelujejo že na podlagi samega članstva v društvu oz. po izrazoslovju uredbe t.i. medsebojnega pogodbenega razmerja podatki, ki so potrebni za izvajanje članskih pravi in obveznosti). Torej vodenje seznama imena, naslova, rojstnega datuma in kontaktnih podatkov. Ti podatki se torej lahko uporabljajo neposredno za namene članskih pravic in obveznosti (obveščanje o društvenih aktivnostih, dogodkih, člansko zavarovanje, zagotavljanje članskih popustov, naročilo članske izkaznice). Sama objava fotografij članov na spletni strani v tem ni zajeta, prav tako npr. ni dovoljeno članom zgolj na tej podlagi pošiljati obvestil o dogodkih drugih organizacij, reklamnih sporočil ipd.

Minimizacija (25. člen GDPR)
Minimizirajte 1) količino zbranih podatkov, 2) obseg njihove obdelave, 3) obdobje njihove hrambe in 4) kdo jih obdeluje.

Je posameznik ustrezno obveščen, komu daje podatke, katere in zakaj ter kakšne pravice ima?
 12, 13. in 14. člen GDPR

Obstaja temeljni akt kjer je vključen odsek o osebnih podatkih a.k.a. Privacy statement (namen zbiranja, obdelave, zaščita?). P.e. PETA stran.

Društveni pravilnik o varovanju osebnih podatkov
Posebnega pravilnika o varovanju osebnih podatkov uredba ne zahteva, čeprav je smiseln. Glede pravilnika je treba poudariti, da naj bo ta prilagojen potrebam društva, tako da glede na tveganja pri osebnih podatkih, določi ustrezne ukrepe. Ključno je, da je določeno kdo v društvu lahko dostopa do podatkov, kje se podatki hranijo, kako so zavarovani (geslo, zaklenjena pisarna) ipd. Raje opišite, kaj imate in zaposlene seznanite z določbami pravilnika (lahko podpišejo tudi izjavo o seznanjenosti). Vzorec pravilnika je objavljen na spletni strani Informacijskega pooblaščenca RS.

Obveščanje preko e-novic / objava članov
Obveščanje aktualnih članov o neposrednih društvenih aktivnostih ni sporno (če je oseba veljavno član na podlagi osebne privolitve) in za to ne potrebujete izrecnega soglasja. V kolikor pa želite imeti širšo listo e-naslovov, s katerimi bi obveščali krajane in druge nečlane o vaših aktivnostih, morate za to pridobiti njihovo soglasje, ki mora miti jasno, konkretno, razumljivo, prostovoljno in dokazljivo (npr. pisna izjava, izpolnitev spletnega obrazca, ki zajema privolitev posameznika).

Primer privolitve za pošiljanje e-novic
»Društvo za osvoboditev živali in njihovih pravic zbira in uporablja elektronske naslove posameznikov za pošiljanje obvestil o dogodkih in aktivnosti društva. Podatki se hranijo do preklica. Posameznik se lahko od prejemanja obvestil kadarkoli odjavi s povratnim sporočilom. To storite s klikom na povezavo v prejetem e-sporočilu ali s povratno pošto z zahtevo za prenehanje pošiljanja.

 □ Dovoljujem uporabo elektronskega naslova za potrebe obveščanja o aktivnostih in dogodkih Društva za osvoboditev živali in njihovih pravic. (Ključno je, da privolitev posameznik izrecno in aktivno označi, npr. z kljukico v okvirčku pred privolitvijo.)«

Objava fotografij posameznikov na spletni strani

Fotografija, objavljena na spletni strani lahko predstavlja osebni podatek, ki je zavarovan po uredbi. Predvsem gre za osebni podatek, kadar bi bile fotografije objavljene na takšen način, da bi brez večjih težav določile ali omogočale določljivost posameznika (npr. ime in priimek v opisu fotografije ...).

Dosedanja stališča Informacijskega pooblaščenca RS so milejša glede javnih prireditev, kjer navajajo, da morajo udeleženci pričakovati, da se bo ta prireditev tudi fotografirala/snemala in se bodo podatki tudi objavili. V izogib nevšečnostim pa na aktivnostih vsaj ustno preverite pred vsemi udeleženci, ali kdo nasprotuje objavi in to potem pri izbiri fotografij upoštevate. 

Objava kontaktnih oseb
Na spletnih straneh društev so objavljeni kontakti zastopnikov in predstavnikov društev. Zastopniki društev so sicer javno znani direktno na zakonski podlagi, glede ostalih kontaktnih oseb pa preverite ali s tem še naprej soglašajo, sicer se jih izbriše.

Ostale določbe
Posameznik lahko zahteva seznanitev, omejitev, izbris, popravek, prenos podatkov, poda ugovor. 12 – 22. člen GDPR.
Določene klavzule v pogodbah z zunanjimi izvajalci (računovodski servisi, IT ponudniki…) bodo obvezne – 28. člen GDPR
Odgovornost upravljalca – 24.člen GDPR – tehnični in organizacijski ukrepi, da se lahko dokaže da obdelava poteka skladno z uredbo
Ocena učinka -35 GDPR - oceno učinka treba izvesti pred obdelavo osebnih podatkov: “kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.” V isti oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja. Več info: link
Pooblaščena oseba za varstvo podatkov – 37. člen GDPR
Popis zbirk osebnih podatkov – evidence dejavnosti obdelave. 30. člen »Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.«