Kaj morate vedeti o varovanju osebnih podatkov

Nevladne organizacije smo, kakor vsi ostali, prav tako podvržene varovanju osebnih podatkov. Časi, ko so se liste prisotnosti nenadzorovano pomikale po mizi, ko smo lahko brezskrbno fotografirali dogodke in potencialnim zainteresiranim brez njihovega pristanka pošiljali naša obvestila – so mimo. To pa ne pomeni, da sedaj z osebnimi podatki ne smemo nič več početi, le poskrbeti je potrebno, da pri tem posameznikova identiteta ni ogrožena.

Kako najbolje urediti področje, nam je na delavnici razložil mag. Andrej Tomšič, namestnik informacijske pooblaščenke. 

Kaj so osebni podatki

Osebni podatki se nanašajo na posameznike – fizične osebe. O njih govorimo, kadar je posameznik določen in določljiv. Pri tem pa ni pomembno naše mnenje, pač pa dejstvo ali je na podlagi nekega podatka nekoga mogoče prepoznati. 

Primer: davčna številka – četudi nam sama številka ne pomeni veliko, že kratka raziskava na internetu omogoča, da ugotovimo, kdo je oseba s to davčno številko, zato je to osebni podatek. 

Osebni podatki imajo različne vire: 

• nekatere izberemo sami (elektronski naslov), 
• druge nam je dodelila država (emšo, davčna), 
• dobimo jih od organizacij s katerimi poslujemo (zdravstveno zavarovanje, članska števika),
• delodajalcev  (službena mobilna telefonska). 

Prav tako imajo različne oblike: številka, fotografija etc.

Pri vsem skupaj pa je najbolj pomemben KONTEKST: kdo jih želi in kaj bo z njimi počel. Glede na kontekst se prilagajo tudi pravila, ki težijo k čim višji zaščiti posameznika. 

Primera: Za telefonske številke na splošno težko rečemo ali so osebni podatki ali ne. Osebna telefonska številka je, medtem ko za službeno to ne velja nujno. 
Fotografiranje na ulici – pomembno je, kdo to počne – javni medij, umetniki, oglaševalci … – od okoliščin pa so odvisna pravila. 

Zbirke osebnih podatkov

Četudi organizacija nima veliko aktivnosti, se hitro nabere kar nekaj osebnih podatkov. Ne glede na način zbiranja in hranjenja (elektronsko ali fizično) so to zbirke osebnih podatkov. Zbirka osebnih podatkov je lahko tabela, aplikacija, kadrovska mapa, video posnetki, seznam sodelujočih v nagradnih igrah, seznam članstva … 

Zbirke se nanašajo na različne subjekte (zaposleni, člani, uporabniki …). 

Osebne podatke lahko obdelujemo zgolj na trdni pravni podlagi

Karkoli s podatki  počnemo npr: pridobivanje, uporaba, sporočanje, širjenje, urejanje, izbris, uničenje … lahko to uredimo zgolj na pravni podlagi.

Pravnih podlag za delo z osebnim podatki je več – za osnovo nam lahko služi samo ena, a v danem trenutku mora biti trdna. 
Niso pa vse podlage primerne za vse kontekste. 

Pravne podlage, za nevladne organizacije  so najbolj relevantne prve tri:  

• Privolitev posameznika: ustrezna samo takrat, ko oseba lahko reče ja ali ne. Torej popolnoma prostovoljna odločitev posameznika, ki ga nič ne prisiljuje ali zavezuje. 
• Pogodba v širokem pomenu besede – vključuje tudi člansko izjavo (kakršna koli med posameznikom in upravljalcem) – podjemna, avtorska, o potovanju, o članstvu … 
• Zbiranje podatkov, ker nam to nalaga zakon (delodajalci podatke o zaposlenih).
• Zbiranje podatkov, ker izajamo javne naloge (banke, zavarovalnice).
• Zbiranje podatkov, ker je to za (podjetja) pomembno in legitimno – npr, preprečevanje spletnega kriminala, virusov, vdorov … ko npr. Pomembnost varnosti prevlada nad našimi pravicami varovanja podatkov. 

Upravljavec osebnih podatkov je v tem primeru naša nevladna organizacija, za vse aktivnosti v zvezi s tem pa je odgovorno vodstvo. 

Za določena opravila (računovdstvo, programiranje …) najamemo zunanje izvajalce, kar pa mora biti opredeljeno v pogodbi, zunanji izvajalci pa osebnih podatkov ne smejo uporabljati za lastne namene.  

Imeti moramo evidence dejavnosti obdelave 

Pravzaprav je to, da vse aktivnosti, ki jih v zvezi z osebnimi podatki izvajamo, popišemo – osnova in prvi korak, ki ga moramo v zvezi z varovanjem in obdelavo osebnih podatkov v organizaciji narediti. 

Kako to storiti: pomagate si lahko z vzorcem za popis Informacijskega pooblaščenca.

V popisu morajo biti sledeče karakteristike: 

• Kontaktni podatki, 
• razlog oz namen zbiranja podatkov,
• opis kategorij posameznikov o katerih zbiramo podatke (npr. zaposleni, prostovoljci …),
• vrste podatkov – kaj zbiramo (imena, priimki, e-naslovi …),
• prejemniki – pravne osebe, katerim bomo posredovali podatke (npr. računovodstvo), 
• roki za izbris podatkov – dobro je, da naše evidence vsaj enkrat letno prevetrimo.
• zapis, kako podatke varujemo, da jih ne izgubimo. 

Podatke lahko zbiramo v elektronski ali klasični obliki, če pa to od nas zahteva informacijski pooblaščenec, pa mu moramo te podatke posredovati. 

Primeri zbirk osebnih podatkov:

• kadrovske evidence in druge evidence o zaposlenih, 
• evidence o strankah članih, kupcih, uporabnikih, naročnikih na e-novice …
• razpisi, vpisniki …
• videoposnetki, fotografije …

Za varovanje osebnih podatkov v organizaciji je odgovorno vodstvo

Za varovanje in pravilno uporabo v nevladni organizaciji je odgovorno vodstvo. Vsekakor pa morajo glavna načela rokovaja s podatki poznati vsi ključni sodelavci organizacije. 

Organizacija ima lahko tudi t.i. DPO-ja (data protection officer). Ta oseba je obvezna za javni sektor, oz. imeti jo morajo vsi upravljalci, ki imajo množično, sistematično obdelovanje podatkov in tisti, ki na množičen način obdelujejo posebne podatke (zdravstveni, verski …).

Nevladni sektor praviloma ne spada v to področje. Nevladne organizacije te osebe običajno ne potrebujejo. Ni pa nič narobe, če jo imajo.

Preverite, ali morate imenovati pooblaščeno osebo. Pomagajte si s smernicami Delovne skupine iz člena 29.

Imeti moramo pravilnik o varovanju osebnih podatkov

To sicer ni nikjer izrecno določeno, a pravilnik je skoraj obvezen za vsako organizacijo. Pri tem pa je potrebno upoštevati sledeče: 

• Pravilnik se redno osvežuje. 
• Ne uporablja se nekritično vzorcev iz interneta – če pa že, pa moramo vse prilagoditi naši organizaciji – prav vask člen. 
• Naj ne bo razkoraka med pravilnikom in realnostjo. 

V pomoč so vam lahko smernice s seznamom osnovnih varnostnih kontrol.

Lahko si pomagate z vzorci, ki pa jih seveda nujno prilagodite svoji organizaciji: 

• Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov
• Pravilnik o postopkih in ukrepih pri delovanju in vzdrževanju informacijskega okolja Informacijskega pooblaščenca

Tistim, ki nam zaupajo svoje osebne podatke moramo povedati

Posamezniki, ki so nam osebne podatke zaupali, morajo biti seznanjeni, kaj se bo v nadaljevanju z njihovimi podatki dogajalo. Naj bodo te informacije hitro dostopne vsem, ki nam podatke zaupajo (jim damo letak, objavimo na spletni strani …). V praksi je to najbolj podhranjeno področje, a uredba je jasna – to je potrebno urediti! 

Podati jim je potrebno dva sklopa informacij:

• Osnovne informacije: kdo smo, namen zbiranja – kaj vse se bo s podatki počelo, kam bodo podatki posredovani. Pri tem si lahko pomagamo s sledečim vzorcem: Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe)
• Obvezne ostale informacije: kako dolgo se bodo podatki hranili, informacijo o pravicah osebe, ki je podatke dala (dostop, popravek, izbris, omejitev, ugovor, prenosljivost), pravica do preklica privolitve, do pritožbe, ter vse dodatno kar je relevantno (npr. profiliranje).    

=> vse to je smiselno napisati npr na liste prisotnosti, prijavnice, članske vpisnice, etc. 

Koga smemo fotografirati

Pri fotografiranju je vse odvisno od konteksta: kdo koga kdaj fotografira. Vedno bi bilo najbolj primerno pridobiti privolitve udeležencev. Soglasje s strani fotografirane osebe mora biti podano aktivno, torej posameznik mora privoliti, ni dovolj če se ne pritoži – oz. zgolj molči. 

Ko pa gre za javni dogodek – npr. ko se fotografira potek nogometne tekme, takšna privolitev ni potrebna. 

Pravice osebe, ki nam je zaupala osebne podatke 

Pravice, ki jih moramo omogočiti: 

• Pravica, da posameznik pride do svojih podatkov (katerih, za kaj jih uporabljamo, kdo z njimi upravlja, kako dolgo se hranijo, kakšne ima pravice, od kod smo jih pridobili – vir)
• Pravica, da dobi kopijo svojih podatkov.
• Pravica do izbrisa – umik zastarelih podatkov. Ni pa to pravica do izbrisa zgodovine – npr. da bi morali izbrisati vse adreme v organizaciji. Izbris se lahko dokaže z zapisnikom o izbrisu. 
• Pravica do omejitve obdelave: samo vmesni čas, ko se preverja točnost podatkov. 
• Pravica do prenosljivosti podatkov – npr. iz spletnih storitev na papir, iz banke na banko etc .
• Pravica do ugovora – predvsem, ko nekdo uporablja naše podatke, pa v to nismo privolili. Npr. društvo brez privolitve objavi slike svojih članov. 
• Pravica do omejitve profiliranja – se manj nanaša na nevladne organizacije.  

Vse to pa pomeni, da moramo mi imeti vse evidence urejene tako, da zmoremo v roku 3o zakonsko določenih dni posamezno pravico realizirati. 

Kaj storiti, ko nam osebni podatki “uidejo”

Vsako kršitev (ko izgubimo liste prisotnosti, ko pustimo prižgan računalnik s seznamom udeležencev) je potrebno notranje evidentirati. 

Je pa vprašanje, kako “huda” je izguba / kršitev. Ko gre za resno kršitev (izguba zdravstvenih ali drugih občutljivih podatkov)  je o tem potrebno obvestiti informacijskega pooblaščenca, sicer pa si je potrebno prizadevati, da imamo čim manj tovrstnih dogodkov. 

Alenka Blazinšek Domenis, Stičišče Središče – Zavod Nefiks

Vir:

• predavanje mag. Andreja Tomšiča, 13. 4. 2022 
• Spletna stran: www.ip-rs.si

Vir fotografij: Pixabay, Pexels