Nova Uredba o varstvu podatkov: nujno tudi obveščanje posameznikov o obdelavi njihovih osebnih podatkov

Nova Uredba EU o varstvu podatkov (t. i. Uredba GDPR), ki bo začela veljati 25. maja 2018, prinaša za upravljalce osebnih podatkov več novih obveznosti. Ena od teh je tudi, da mora tisti, ki podatke ima oziroma obdeluje (obdelava podatkov pomeni kakršna koli uporaba podatkov, kot npr. zbiranje teh podatkov, njihovo pošiljanje tretjim osebam, pošiljanje obvestil posameznikom, itd.), posameznike tudi  obvestiti o bistvenih značilnostih te obdelave. S tem želi uredba doseči, da imajo posamezniki res vse bistvene informacije o tem, kaj se z njihovimi podatki dogaja in bodo zato tudi lažje izvrševali svoje s tem povezane pravice.

Če smo podatke dobili neposredno od posameznika, na katerega se nanašajo (npr. uporabnik sam izpolni obrazec s svojimi osebnimi podatki in nam ga pošlje, uporabnik nam osebno v živo zaupa svoje podatke, udeleženci dogodka vpišejo svoje podatke na listo prisotnosti, itd.), mora upravljalec  (torej tudi NVO, ki bo njegove podatke imela in jih uporabljala za svoje potrebe) posamezniku zagotoviti naslednje informacije:

Kadar se osebni podatki pridobijo neposredno od posameznika, na katerega se nanašajo, mora upravljalec (NVO) takrat, ko pridobi osebne podatke, posamezniku zagotoviti naslednje informacije:

1) osnovne podatke o NVO (ime, sedež in kontaktna oseba);

2) kontaktne podatke pooblaščene osebe za varstvo podatkov, če jo NVO ima;

3) namene, za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo (obstaja namreč več različnih podlag za obdelavo podatkov, na primer na podlagi privolitve ali na podlagi zakonodaje);

5) kdo vse poleg NVO bo (morda) še uporabil takšne podatke (navede se lahko točno določena oseba ali kategorije teh oseb);

6) če namerava NVO osebne podatke prenesti v državo izven EU, tudi informacije o varstvu podatkov v tej državi;

V izjemnih primerih, ko NVO podatke obdeluje brez soglasja posameznika, ker oceni, da ima za to t. i. zakonit interes, ki prevlada nad interesi posameznikov (npr. izvaja interne raziskave o vedenju neke ranljive ciljne skupine, da lahko temu prilagodi strategijo svojega delovanja), mora posameznika opozoriti tudi na to možnost.

Upoštevajoč okoliščine konkretnega primera pa Uredba zahteva, da se posamezniku posreduje še sledeče informacije, če je to potrebno, da se zagotovi »poštena in pregledna« obdelava njegovih podatkov:

7) obdobje hrambe osebnih podatkov;

8) katere so pravice posameznika glede njegovih podatkov (npr. da lahko zahteva popravek ali izbris podatkov, da lahko dobi izpis svojih podatkov, itd.);

9) da se soglasje za obdelavo njegovih osebnih podatkov lahko kadar koli prekliče;

10) informacijo o pravici do vložitve pritožbe pri Informacijskem pooblaščencu;

11) informacijo, kakšne so morebitne posledice, če posameznik svojih podatkov ne posreduje (npr. da NVO ne bo mogla izpolniti svojih pogodbenih obveznosti do tega posameznika);

12) informacijo, ali NVO morda profilira posameznike na podlagi njihovih osebne podatkov in kaj to pomeni za posameznika.

Če NVO pridobi podatke neposredno od posameznika, ga mora seznaniti z informacijami po zgornjih točkah takoj, ko podatke dobi.

Če osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo (so bili npr. zbrani iz javnih virov ali nam jih je posredovala druga organizacija), je potrebno posameznika, na katerega se podatki nanašajo, informirati o vseh zgoraj navedenih točkah, razen točke 11, poleg tega pa še:

13) katere podatke oz. vrste podatkov obdelujemo;

14) podatke o viru, iz katerega smo podatke dobili.

Če NVO pridobi podatke iz drugih virov in torej ne neposredno od posameznika, mora posameznika seznaniti s potrebnimi informacijami tako, kot je to »razumno pričakovati«, a najpozneje v enem mesecu od prejema podatkov.