Letos maja bo pričela veljati nova Uredba EU o varstvu osebnih podatkov, ki bo veljala tudi za nevladne organizacije, ker tudi sami hranimo in obdelujemo različne vrste osebnih podatkov (o delavcih, prostovoljcih, članih, uporabnikih…) Na nova pravila pa morajo še posebej biti pozorne NVO, ki delajo z ranljivimi skupinami, na primer invalidske organizacije in organizacije s področja zdravstva. Oni praviloma obdelujejo in shranjujejo tudi občutljive osebne podatke.
Predvsem moramo biti pozorni na:
• Da imamo za vsako (čisto vsako!) obdelavo osebnih podatkov ustrezno pravno podlago. Takšno podlago moramo imeti pred samo obdelavo podatkov, torej preden neki podatek uporabimo – ga npr. vpišemo v svojo bazo, uporabimo za pošiljanje obvestila ali objavimo sliko uporabnika na spletu itd.
• Vsa pretekla soglasja članov in uporabnikov o obdelavi njihovih osebnih podatkov je potrebno ponovno preveriti, če so še ustrezna. Četudi je torej oseba nevladni organizaciji soglasje za obdelavo svojih podatkov nekoč že podala, mora biti to soglasje skladno z novo uredbo. Če temu ni tako, je soglasje potrebno pridobiti na novo. Razne splošne privolitve, da se oseba »strinja s statuti ali akti organizacije«, po novem ne bodo več zadoščale in jih je zato potrebno pridobiti na novo.
• Ali so naši člani in uporabniki o obdelavi svojih podatkov ustrezno obveščeni? Ne zadošča samo, da imamo ustrezno podlago za obdelavo podatkov (npr. soglasje uporabnika programa organizacije), temveč mora biti oseba, katere podatke imamo, tudi ustrezno obveščena o tem, kaj se z njenimi podatki dogaja.
• Ali je obseg osebnih podatkov, s katerimi razpolagamo, sorazmeren in ustrezen? Podatkov ne smemo več obdelovati v večjem obsegu, kot je to potrebno za doseganje namena, za katere so bili zbrani. Zato razna zbiranja podatkov npr. o EMŠO številkah, davčnih številkah, kraju rojstva, poklicu članov v društvih ipd. ne bo več dovoljena zgolj »za potrebe delovanja društva« oz. na zalogo. Za takšne dodatne podatke bo potrebno zagotoviti drugo podlago ali pa podatke izbrisati.
• Ali imamo ustrezne evidence o tem, katere osebne podatke imamo? Uredba določa obveznost vodenja kataloga zbirk osebnih podatkov, kot jo ima že veljavni slovenski zakon.
• Ali imamo ustrezne pogodbe z zunanjimi obdelovalci osebnih podatkov (računovodski servis, računalniška podjetja ...)? Po novem bodo tovrstne pogodbe morale imeti več varovalk.
• Ali potrebujemo posebnega pooblaščenca za varstvo osebnih podatkov?
Vir: CNVOS
Dodatne informacije:
Splošna pojasnila o možnih pravnih podlagah za obdelavo osebnih podatkov članov
Uredba o varstvu osebnih podatkov
Informacijski pooblaščenec
Informativni letak