Zdaj gre zares: pravočasno poskrbite za varstvo osebnih podatkov

Letos maja bo pričela veljati nova Uredba EU o varstvu osebnih podatkov (t. i. Uredba GDRP), ki na novo in mestoma tudi strožje določa pravila o varstvu osebnih podatkov. Glede na aktualno politično stanje Slovenija do 25. maja, ko uredba prične veljati, očitno ne bo še imela novega zakona o varstvu osebnih podatkov, pač pa bo še naprej veljal sedanji ZVOP-1, ki bo postal na več mestih neskladen z evropskimi predpisi.

Ker bo omenjena uredba veljala za vse, tudi za nevladne organizacije, je potrebno varstvo osebnih podatkov prilagoditi novi uredbi in veljavni zakon upoštevati samo še v tistem delu, ki je z uredbo skladen. Informacijski pooblaščenec bo nadzor od 25. maja dalje opravljal neposredno na podlagi evropske uredbe in odpustkov zaradi nesprejetja novega zakona ne moremo pričakovati.

Nevladne organizacije moramo biti pozorne predvsem na sledeče:

• Ali imamo za vsako (čisto vsako!) obdelavo osebnih podatkov ustrezno pravno podlago? Takšno podlago moramo imeti pred samo obdelavo podatkov, torej preden nek podatek uporabimo – ga npr. vpišemo v svojo bazo, uporabimo za pošiljanje obvestila ali objavimo sliko uporabnika na spletu itd.
• Vsa pretekla soglasja članov in uporabnikov o obdelavi njihovih osebnih podatkov je potrebno ponovno preveriti, če so še ustrezna. Četudi je torej oseba nevladni organizaciji soglasje za obdelavo svojih podatkov nekoč že podala, mora biti to soglasje skladno z novo uredbo. Če temu ni tako, je soglasje potrebno pridobiti na novo. Razne splošne privolitve, da se oseba »strinja s statuti ali akti organizacije«, po novem ne bodo več zadoščale in jih je zato potrebno pridobiti na novo.
• Ali so naši člani in uporabniki o obdelavi svojih podatkov ustrezno obveščeni? Ne zadošča samo, da imamo ustrezno podlago za obdelavo podatkov (npr. soglasje uporabnika programa organizacije), temveč mora biti oseba, katere podatke imamo, tudi ustrezno obveščena o tem, kaj se z njenimi podatki dogaja.
• Ali je obseg osebnih podatkov, s katerimi razpolagamo, sorazmeren in ustrezen? Podatkov ne smemo več obdelovati v večjem obsegu, kot je to potrebno za doseganje namena, za katere so bili zbrani. Zato razna zbiranja podatkov npr. o EMŠO številkah, davčnih številkah, kraju rojstva, poklicu članov v društvih ipd. ne bo več dovoljena zgolj »za potrebe delovanja društva« oz. na zalogo. Za takšne dodatne podatke bo potrebno zagotoviti drugo podlago ali pa podatke izbrisati.
• Ali imamo ustrezne evidence o tem, katere osebne podatke imamo? Uredba določa obveznost vodenja kataloga zbirk osebnih podatkov, kot jo ima že veljavni slovenski zakon.
• Ali imamo ustrezne pogodbe z zunanjimi obdelovalci osebnih podatkov (računovodski servis, računalniška podjetja ...)? Po novem bodo tovrstne pogodbe morale imeti več varovalk.
• Ali potrebujemo posebnega pooblaščenca za varstvo osebnih podatkov?

Tematiki varstva osebnih podatkov naj posebno pozornost namenijo nevladne organizacije, ki hranijo oziroma obdelujejo tudi podatke o zdravju svojih članov ali uporabnikov (npr. invalidske organizacije, določene humanitarne organizacije…).  Predpogoj za obdelovanje takšnih podatkov je ustrezno tehnično varovanje teh podatkov. Če te podatke pošiljamo tretjim osebam (npr. financerju ali strokovnim inštitucijam), je za to nujno potrebna tudi osebna privolitev oseb, na katere se osebni podatki nanašajo, če za kaj takega ne bi obstajala že zakonska podlaga, ki bi to dovoljevala. 

Na vse navedeno je društva opozoril tudi Informacijski pooblaščenec v svojem splošnem mnenju glede obdelave osebnih podatkov v društvih.