Nova evropska uredba o varstvu osebnih podatkov, bolj znana kot uredba GDPR, ki je v veljavo stopila maja 2018, velja za vse organizacije, ki se pri svojem delu srečujejo z osebnimi podatki – in nič drugače ne velja za nevladne organizacije. Vprašanja o tem, kako delovanje uskladiti z novo uredbo, so med najpogostejšimi vprašanji, ki jih nevladnice in nevladniki zastavljate našim pravnim svetovalcem. In Matej Verbajs, vodja pravne službe, ima odgovore v malem prstu.
Matej, kdo vse mora upoštevati uredbo GDPR?
GDPR velja za vsako organizacijo, ki ima opravka z osebnimi podatki, kar pa je v praksi praktično vsaka nevladna organizacija, saj si delovanja na drug način dandanes niti ni mogoče zamisliti. Z osebnimi podatki imamo opravka npr. ko se oseba včlani v društvo, ko zbiramo prijave članov ali uporabnikov na društveni izlet ali neko drugo skupno dejavnost, ko podpisujemo dogovor o prostovoljskem delu ali ko prostovoljcu izplačamo potne stroške, ko podatke o zaposlenemu ali honorarnemu delavcu pošljemo na FURS, ko na spletu objavljamo fotografije oseb, ko financerjem dejavnosti pošiljamo liste prisotnosti ali druge podatke o naših članih ali uporabnikih programov oz. projektov.
S čim so imele po tvojih izkušnjah nevladne organizacije največje težave, ko je v veljavo stopila uredba GDPR?
Kot prvo, da so sistematično pregledale svoje arhive in ugotovile, katere zbirke podatkov sploh imajo. Precej je tudi takšnih organizacij, ki s tem delom še odlašajo, čeprav je GDPR že tu. Nadaljnje težave so imele pri ugotavljanju, kaj v resnici sploh še potrebujejo, in da se morajo od osebnih podatkov, za katere nimajo (več) ustrezne pravne podlage, posloviti – jih npr. uničiti. Še vedno namreč kroži mnenje, da naj se podatki raje "hranijo na zalogo" ali "za vsak slučaj", vendar GDPR tega ne dovoljuje.
Kot pogostejšo težavo bi izpostavil tudi obveznosti informiranja: da morajo torej nevladne organizacije svoje člane, delavce in uporabnike, tudi če so bili člani ali uporabniki že pred GDPR, ustrezno informirati, kaj vse se z njihovimi osebnimi podatki dogaja. Obvestiti jih moramo, zakaj hranimo njihove osebne podatke, komu jih pošiljamo, kako jih obdelujemo in podobno.
Katere so najpogostejše napake, ki jih nevladne organizacije delajo pri ravnanju z osebnimi podatki?
Ena od pogostejših napak so pomanjkljiva obvestila in slabo pripravljene privolitve. Kar se tega tiče, je GDPR strog. Če privolitev oz. soglasje ne vsebuje vsega potrebnega, je neveljavno in je enako, kot če ga sploh nimamo.
Po drugi strani pa je pogosta napaka prav ta, da nekateri za vsako obdelavo osebnih podatkov pridobivajo privolitev. Ob tem pozabljajo, da je privolitev zgolj ena od možnosti in ni nujno prva ali najboljša izbira. Pravzaprav je pogosto celo zelo slaba izbira – npr. pri obdelavi podatkov o članih društva, o uporabnikih programov. S tem si lahko naredimo prej več škode kot koristi.
Pogosta napaka je tudi z neustrezno varovanje osebnih podatkov – npr. da imajo vsi v organizaciji dostop do vseh podatkov in skupna gesla za dostop.
Kaj se zgodi, če organizacije ne upoštevajo nove uredbe? Kakšne so posledice?
Kljub temu, da v Sloveniji (še) nimamo novega Zakona o varstvu osebnih podatkov (ta je sicer ravno prejšnji teden ponovno dan v javno razpravo), GDPR neposredno zavezuje vse nevladne organizacije, ki obdelujejo osebne podatke. V primeru kršitev lahko tako Informacijski pooblaščenec odredi, da se morebitne nepravilnosti takoj odpravijo, lahko pa jih tudi kaznuje, npr. z denarno kaznijo.
Ker imamo opravka z osebnimi podatki, lahko v primeru zlorab ali npr. razkritij kršitelji odgovarjajo tudi odškodninsko.
17. aprila boš vodil delavnico o posebnostih varstva osebnih podatkov za nevladne organizacije, ki se ukvarjajo z ranljivimi skupinami. Kako se varstvo osebnih podatkih v takšnih organizacijah razlikuje od drugih?
V teh primerih imamo pogosto opravka s t. i. posebnimi osebnimi podatki, npr. o zdravstvenem stanju, invalidnostih, boleznih ali drugimi posebej občutljivimi osebnimi podatki, npr. o socialnem stanju, družinskih razmerjih, izkušnjami z nasiljem ali kazenskimi postopki in podobno. Za te vrste osebnih podatkov velja poseben, strožji režim varovanja. Pogosto se ti podatki zelo sistematično vodijo in beležijo, zato zbirke oz. evidence hitro postanejo obsežne. Vse to pa po GDPR že lahko pomeni večja tveganja in zahteve po dodatnih ukrepih varovanja, kot je imenovanje pooblaščene osebe za varstvo osebnih podatkov, izvajanje t. i. ocen učinkov in podobno.
Kako lahko v CNVOS pomagamo nevladnim organizacijam pri usklajevanju delovanja z novo uredbo?
V CNVOS nudimo nevladnim organizacijam tem področju res širok spekter pomoči v različnih oblikah, tako da vsak lahko dobi, kar potrebuje. Nevladne organizacije, ki so naši člani, se lahko za hitre in kratke nasvete obrnejo na našo brezplačno pravno pomoč po telefonu, vsak torek in četrtek med 10. 14. uro na številki (01) 542 1422. Lahko pa se dogovorimo tudi za osebna srečanja in svetovanja ali pa preglede in priprave različnih z varstvom osebnih podatkov povezanih pravnih aktov – pravilnikov, pogodb, sklepov, soglasij za uporabo podatkov, pojasnil za obiskovalce, ki jih fotografiramo, pojasnil za liste prisotnosti, itd.
Razvili smo tudi lasten način preverjanja, ali nevladna organizacija deluje skladno z GDPR, tako da lahko organizacijo celostno preverimo, tudi z obiskom vaših prostorov. Tako lahko povsem analitično preverimo, kaj je v redu in kaj je treba še pripraviti. Na podlagi takšne analize organizacija točno vidi, kaj mora še postoriti in kje smo morebitne "šibke točke". Takšno poročilo pa jim lahko koristi tudi kasneje, saj z njim izkazuje, kaj vse je bilo narejeno. Seveda pri tem lahko tudi sami pomagamo in pripravimo vse potrebno.
Za nevladne organizacije, ki imajo opravka z večjimi zbirkami podatkov, nudimo tudi storitev zagotavljanja pooblaščene osebe za varstvo osebnih podatkov.
Hvala, Matej!
Matej bo 9. aprila vodil delavnico o varstvu osebnih podatkov v nevladnih organizacijah, 17. aprila pa delavnico o varstvu osebnih podatkov, posebej prilagojeno nevladnim organizacijam, ki se ukvarjajo z ranljivimi skupinami.
