- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Vodenje dnevnika obdelave
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Vodenje dnevnika obdelave
Datum
24.02.2023
Številka
07121-1/2023/258
Kategorije
Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje glede vodenja dnevnika obdelave. Navajate, da se kot podjetje, ki redno in sistematično spremlja posameznike, smatra tudi trgovec s klubom zvestobe.
Sprašujete, ali mora upravljavec voditi dnevnik obdelave glede vseh evidenc osebnih podatkov, ki jih vodi (npr. tudi glede evidenc zaposlenih, kjer se podatki ne obdelujejo redno in sistematično), ali le glede evidenc, kjer se podatki redno in sistematično obdelujejo (npr. glede evidenc, ki so v neposredni povezavi z izvajanjem kartice zvestobe).
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Upravljavec mora voditi dnevnik obdelave skladno z 22. členom ZVOP-2 glede konkretne obdelave osebnih podatkov, če je izpolnjen kateri od naslednjih pogojev:
-v avtomatiziranih sistemih obdelave se izvajajo obsežne obdelave posebnih vrst osebnih podatkov,
-gre za redno in sistematično spremljanje posameznikov,
-kadar je z vodenjem dnevnikom obdelave mogoče učinkovito upravljati s tveganjem, ugotovljenim z oceno učinka ali
-če tako določa zakon.
Obrazložitev
Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Skladno s prvim odstavkom 22. člena ZVOP-2 upravljavci vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov: zbiranje, spreminjanje, vpogled, razkritje, vključno s prenosi, izbris ter druga dejanja obdelave, ki jih določa zakon.
IP pojasnjuje, da določba 22. člena ZVOP-2 dejansko predstavlja beleženje dostopov do osebnih podatkov, oz. sledljivost in na podlagi navedene določbe meni, da se (tako kot je podobno v zvezi s sledljivostjo veljalo v ZVOP-1) obveznost nanaša na posamezne obdelave osebnih podatkov, glede katerih je treba voditi dnevnik obdelave. Če presodite, da je izpolnjen kateri od pogojev – v avtomatiziranem sistemu obdelave se izvajajo obsežne obdelave posebnih vrst osebnih podatkov; gre za redno in sistematično spremljanje posameznikov; z vodenjem dnevnikom obdelave je mogoče učinkovito upravljati s tveganjem, ugotovljenim z oceno učinka, ali pa če tako določa zakon, potem je glede te konkretne obdelave treba voditi dnevnik obdelave. Pojma »redno in sistematično spremljanje posameznikov« Splošna uredba ne opredeljuje, lahko pa več pojasnil o tem preberete v Smernicah EDPB o pooblaščenih osebah za varstvo podatkov, na strani 9. Smernice so dostopne (tudi v slovenskem jeziku) na povezavi: https://ec.europa.eu/newsroom/article29/items/612048.
ZVOP-2 izrecno predpisuje vodenje dnevnika obdelave glede dostopa in uporabe posnetkov videonadzornega sistema (dvanajsti odstavek 76. člena ZVOP-2). Dnevnik obdelave je treba voditi o naslednjih dejanjih obdelave osebnih podatkov: zbiranje, spreminjanje, vpogled, razkritje, vključno s prenosi, izbris ter drugih dejanj obdelave, ki jih določa zakon. Dnevnik obdelave mora za navedena dejanja obdelave vsebovati: vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka. ZVOP-2 določa tudi uporabo dnevnika obdelave in rok hrambe.
Opozarjamo, da mora upravljavec prav tako skladno s šestim odstavkom 41. člena ZVOP-2 za vsako posredovanje osebnih podatkov zagotoviti možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu ZVOP-2.
Dodajamo tudi, da je skladno z 120. členom ZVOP-2 treba vodenje dnevnikov obdelav uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona.
Več o dnevniku obdelave in o zavarovanju osebnih podatkov lahko preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.
Lepo pozdravljeni.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo