Mišljenje AZOP-a o potpisnim listama za projekte

22. studenoga 2018.

GONG je u lipnju 2018. AZOP-u uputio službeni upit za mišljenje o usklađivanju potpisnih listi koje koriste organizacije civilnog društva s GDPR-om.  Izrađeni su novi obrasci za potpisne liste sukladno mišljenju Agencije. Može ih  se preuzeti u članku.

S Općom uredbom o zaštiti podataka, poznatijom kao GDPR, dolaze brojne promjene u administrativnim i drugim procesima za organizacije. Promjene vezane za zaštitu osobnih podataka bile su primorane uvesti tvrtke i javna tijela kao i organizacije civilnog društva. Nakon što je GDPR stupio na snagu 25. svibnja 2018., GONG je organizirao besplatne radionice prilagodbe za organizacije civilnog društva, koje su se održale u lipnju 2018. Cilj radionica bio je prijenos znanja o procesu prilagodbe GONG-a, ali i razmjena znanja o dobrim praksama i pokušaj da se pronađu i ponude rješenja koja bi mogla dugoročno poslužiti udrugama. Smanjeni kapaciteti organizacija civilnog društva otežavaju proces prilagodbe GDPR-u koji može biti vremenski zahtjevan proces za organizacije koje rade s puno ispitanika (primjerice, one koje imaju puno korisnika, suradnika i drugih ispitanika). S obzirom na situaciju u kojoj nije lako pronaći resurse za provedbu prilagodbe, GONG je organizacijama ponudio neke gotove materijale koji se mogu iskoristiti u tom procesu. No, neposredno nakon stupanja GDPR-a na snagu, mnoga pitanja vezana uz praktične aspekte implementacije ove uredbe ostala su otvorena. Na jednoj od radionica u lipnju, sudjelovala je i predstavnica AZOP-a (Agencije za zaštitu osobnih podataka), koja je odgovarala na pitanja. Utvrđeno je da postoji niz izazova koji su specifični za organizacije civilnog društva, a osobito u kontekstu projektnih aktivnosti udruga, koje su u većini slučajeva njihov glavni izvor financiranja. Zaključak radionice bio je uputiti i službeni zahtjev za mišljenje AZOP-a o nekima od tih situacija, primarno vezanima za pitanje potpisnih listi koje udruge koriste za izvještavanje prema donatorima.

Potpisne liste – privola ili legitimni interes?

Potpisne liste su obrasci na koje se potpisuju sudionici raznih događaja i na njima ostavljaju osobne podatke i potpis. Najčešće se traže ime i prezime, e-mail adresa i podaci o organizaciji. Ove liste služe kao potvrda o tome da se događaj održao i dokaz o broju sudionika nekog događaja. Prilažu se uz godišnje izvještaje i često su osnova na kojoj se isplaćuju ili pak opravdavaju sredstva utrošena na organizaciju radionica, tribina, edukacija i drugih događaja. Pitanje koje je ostalo otvoreno i koje je službenim putem upućeno AZOP-u ticalo se adekvatne osnove za obradu podataka kad se radi o projektnim aktivnostima udruga: je li to privola ili pak legitimni interes organizacija?

U međuvremenu, na adresu GONG-a pristiglo je službeno mišljenje AZOP-a u kojem se navodi da je legitimni interes organizacija adekvatna osnova za obradu podataka na potpisnim listama. U praksi, to znači da na potpisnim listama ne moraju biti kućice u kojima ispitanici daju privolu za obradu podataka u posebne svrhe. Organizacije su i dalje dužne poštivati načelo transparentnosti obrade podataka i pružiti ispitanicima sve potrebne informacije o obradi propisane u članku 13. GDPR-a. Kako bi se osigurala usklađenost s načelom transparentnosti, GONG je potpisne liste prilagodio uklkjučivši sve potrebne informacije o obradi osobnih podataka, koje su istaknute na jasno vidljivom mjestu (prema sugestiji AZOP-a, na vrhu svake stranice).

Obrazac za potpisne liste bazirane na legitimnom interesu možete preuzeti ovdje na hrvatskom jeziku i ovdje na engleskom jeziku.

Naravno, uz same potpisne liste, potrebno je osigurati i primjerenu razinu zaštite podataka u procesu rukovanja s materijalima – ne prikupljati više podataka nego što je potrebno, čuvati ih na sigurnom mjestu, educirati osobe koje njima rukuju, osigurati ažurnost i točnost podataka, ne dijeliti ih s neovlaštenim osobama itd., odnosno uskladiti ih s načelima obrade propisanima u II. poglavlju GDPR-a (članci 5-12).

Što se tiče prijenosa podataka u treće zemlje izvan EU (za slučaj da donatorska organizacija ima sjedište izvan EU), potrebno je provjeriti postoji li odluka o primjerenosti Europske komisije, u kojoj se navode zemlje za koje EK smatra da su dovoljno usklađene s GDPR-om da razmjena podataka s organizacijama u njima ne podliježe nekim dodatnim predostrožnostima. Ako takva odluka ne postoji, bit će potrebno evaluirati svaku pojedinačnu situaciju s obzirom na članak 46 Opće uredbe o zaštiti podataka i po potrebi tražiti mišljenje nadzornog tijela.

GONG je Centar znanja u području građanskog aktivizma i izgradnje demokratskih institucija društva u okviru Razvojne suradnje s Nacionalnom zakladom za razvoj civilnoga društva.đ

Mišljenje AZOP-a o potpisnim listama za projekte 1Mišljenje AZOP-a o potpisnim listama za projekte 2

chevron-right