S 25. majem 2018 prične po celi Evropski uniji veljati Splošna uredba o varstvu podatkov. Uredba zaostruje nekatere kriterije za rabo osebnih podatkov in vse nevladne organizacije, ki upravljajo z osebnimi podatki, so zavezane, da bodo po tem datumu spoštovale nova pravila.
Tokrat v servisu Asociacije pojasnjujemo nekaj ključnih vprašanj glede sprememb pri obdelavi osebnih podatkov po 25. maju 2018, ki so relevantne za NVO-je v kulturi.
Splošna uredba o varstvu podatkov (pogosto je rabljena kratica GDPR, ki je okrajšava za angleški prevod uredbe, to je General Data Protection Regulation) je bila sprejeta v letu 2016. Nacionalni parlamenti bi morali do 25. maja 2018 prilagoditi nacionalne zakonodaje. V Sloveniji ustreznega novega zakona še nismo potrdili, a kljub temu je evropska uredba zavezujoča za vse, torej tudi za slovenske NVO v kulturi, le da nekatere podrobnosti, ki bi jih morale določiti nacionalne zakonodaje, še niso povsem jasne.
V nadaljevanju bomo skušali osvetlili nekaj ključnih pojmov.
Najprej se moramo vprašati, kaj je osebni podatek. Gre za vsak podatek, ki ga lahko povežemo s konkretno osebo. Če imamo torej ime in priimek osebe, zraven pa še kopico drugih podatkov, na primer kraj bivanja, telefonsko številko, elektronsko pošto, delovno mesto ali socialni status, potem so vsi nadaljnji podatki seveda osebni podatki (nekateri med njimi tudi posebni osebni podatki). Organizacija seveda lahko zbira osebe podatke, a mora zato, da lahko te podatke zbira, imeti ustrezno podlago.
Podlag je šest, med temi so za nevladne organizacije najpomembnejše soglasje, t.i. zakoniti interes in podlaga glede na izvajanje pogodbe, poznamo pa še opravljanje naloge v javnem interesu, zakonska obveznost in zaščita življenjskih interesov. Različni tipi obdelave osebnih podatkov potrebujejo različne podlage, imeti pa morajo vsaj eno podlago.
Vzemimo konkreten primer. Recimo, da v društvu hranimo vpisne liste (oziroma tvorimo tabelo članov) na katerih so navedeni ime in priimek osebe, kraj bivanja, elektronska pošta in telefonska številka. Zato, da te podatek hranimo, potrebujemo soglasje. Zato, da te podatke uporabljamo še naprej, pa potrebujemo še dodatno podlago. Če želimo člana zgolj obveščati o temeljnih dejavnosti društva, v katerem je včlanjen, potem kot podlaga načeloma zadostuje, da je to zakoniti interes organizacije. Če želimo članom pošiljati še promocijske materiale za nakupe, ki bi jih lahko zanimali, in smo jim uspeli zagotoviti popuste, pa za to potrebujemo soglasje. Do sedaj smo torej navedli tri obdelave osebnih podatkov. Prva je hramba osebnih podatkov, druga je pošiljanje članom obvestil o delovanju društva in tretja pošiljanje promocijskih materialov članom. Vsaka od teh obdelav potrebuje podlago. V kolikor gre za temeljne naloge društva, se smatra, da je to zakoniti interes organizacije in za to ne potrebujete soglasja. Je pa seveda pojem zakoniti interes manj jasno definiran. A zato da člana pozovete na občni zbor načeloma ne rabite soglasja. V kolikor bi mu želeli pošiljati promocijska gradiva, pa to ni več temeljna naloga društva in potrebujete za slednjo obdelavo osebnih podatkov drugo podlago.
Načeloma so najbolj eksplicitne podlage soglasja oziroma privolitve, hkrati pa je te podlage tudi najtežje pridobiti. Glede soglasja je ključno, da mora slednje po novem biti jasno, eksplicitno in nedvoumno. Soglasje mora biti tudi aktivno, kar pomeni, da mora biti potrjeno z aktivnim dejanjem privolite v specifično obdelavo osebnih podatkov. Da je soglasje jasno, pomeni, da ne sme v soglasju za eno dejavnost biti skrito tudi soglasje za nekaj drugega. Soglasje mora biti tudi prostovoljno.
Ob tem se pogosto pojavlja tudi vprašanje, kako je z obvestilniki (ang. newsletter), ki jih pošiljajo številne organizacije. Glavno vprašanje pri tem je, ali je potrebno za slednje pridobiti soglasje, oziroma ali so dovolj stara soglasja, ki jih že imamo. Že po starem zakonu o varstvu osebnih podatkov je vsakdo, ki je pošiljal obvestilnike, moral imeti soglasje. Z uredbo se torej spremeni samo način, kako se soglasje pridobiva, kar pomeni, da mora biti slednje jasno, eksplicitno in aktivno. V kolikor ste torej pred leti pobirali soglasja, ki je med drugim imelo, na primer, zapisano »dovoljujem, da mi pošiljate elektronska sporočila«, potem tako soglasje sedaj ni več veljavno, saj ni dovolj eksplicitno in nima aktivne privolitve. V soglasju mora biti natančno navedeno, da vam oseba dovoljuje, da ji pošiljate obvestilnik in po možnosti tudi pojasnilo, kaj ta obvestilnih vsebuje. Da je potrditev aktivna pomeni, da mora oseba imeti možnost obkljukati, da s tem soglaša s točno specifično dejavnostjo. Če bi na primer pošiljali obvestilnik o delovanju društva, potem pa občasno še promocijske materiale, mora z vsako od teh dejavnosti posameznik eksplicitno soglašati na aktiven način. V kolikor ste soglasja na tovrsten način zbirali že do sedaj, potem so ta soglasja seveda veljavna še naprej, v kolikor pa vaša stara soglasja niso v skladu z novo uredbo, pa morate pridobiti nova soglasja. Opozarjamo, da po 25. maju stare adreme brez soglasij ne smete več uporabljati.
Eno od pomembnih določil je tudi, da moramo imeti evidenco dejavnosti obdelav osebnih podatkov oziroma popis kakšne obdelave osebnih podatkov se v organizaciji odvijajo. Torej v kolikor hranite članstvo, mora to biti zabeleženo v posebni evidenci, prav tako v kolikor imate sklenjene pogodbe z zunanjimi izvajalci, ipd.
Glede zunanjih izvajalcev je prav tako vpeljana novost, in sicer morate z zunanjim izvajalcem imeti podpisano pogodbo, ki ustrezno beleži razmerje glede obdelave osebnih podatkov, ki jih posredujete tretji osebi. V kolikor imate na primer zunanje računovodstvo, morate z njim imeti sklenjen ustrezen pravni akt, kjer so določene smernice glede varovanja osebnih podatkov, ki jih posredujete temu računovodstvu. Enako je z vsemi drugimi zunanjimi sodelavci, ki jim posredujete osebne podatke.
Uredba vpeljuje tudi nekatera določila, ki za nevladne organizacije v kulturi povečini niso relevantna, vseeno pa svetujemo, da preverite konkretno na vašem primeru, ali tudi glede teh določil morate ukrepati. To so denimo obveza imenovanja pooblaščene osebe za varstvo osebnih podatkov, ocena učinkov na varstvo podatkov (dodatno pojasnilo), svetujemo, da preverite tudi, ali v vaši organizaciji obdelujete t.i. posebne vrst osebnih podatkov (9. člen uredbe). Nekaj nejasnosti je tudi glede pravilnika o varnostnih postopkih, to je internega pravilnika o varstvu osebnih podatkov, glede katerega Informacijskih pooblaščenec v pogostih vprašanjih daje pojasnilo: »Splošna uredba izrecno ne zahteva posebnega pravilnika, v katerem opišete varnostne ukrepe, ga pa močno priporočamo.«
V tem prispevku smo podali zgolj preliminarni pregled uredbe o varstvu osebnih podatkov, a ker je področje obsežno in obstaja veliko specifik, priporočamo v branje tudi številna gradiva, ki so dostopna na spletni strani Informacijskega pooblaščenca.