Vodenje dnevnikov obdelave

Datum

11.04.2024

Številka

07121-1/2024/415

Kategorije

Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede dnevnikov obdelave osebnih podatkov in sicer ali so spodaj navedene aktivnosti predmet vodenja dnevnika obdelave osebnih podatkov glede na določbe 22. člena ZVOP-2:

1.Zaposleni prinese potrdilo Upravne enote o spremembi začasnega prebivališča. Potrdilo posredujemo kadrovski službi in prosimo za ureditev.

2.Zaposleni prinese izpisek iz matičnega registra o smrti, pripravimo dokument za odsotnost z dela z nadomestilom plače.

3.Zaposleni prinese potrdilo o sobivanju z otrokom zaradi upoštevanja pri pripravi podatkov za obračun plač.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da kriterije, kdaj je potrebno vodenje dnevnikov obdelave, določa prvi odstavek 22. člena ZVOP-2 in sicer:

kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov ali

kadar gre za redno in sistematično spremljanje posameznikov ali

kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave ali

če tako določa zakon.

ZVOP-2 torej kot kriterijev za vodenje dnevnika obdelave ne opredeljuje posebnih oziroma specifičnih posameznih ravnanj nad osebnimi podatki, kot so primeroma zgoraj našteta (npr. vnos podatkov), temveč se osredotoča na širši proces obdelave ali zbirko osebnih podatkov. V vseh vaših primerih gre za vnos podatkov o zaposlenih v določene kadrovske evidence, ki jih vodite kot delodajalec, zato se je treba najprej vprašati, ali takšne kadrovske evidence, v konkretnem primeru (okoliščine se lahko med upravljavci bistveno razlikujejo), sodijo med zgoraj naštete procese obdelav, ki terjajo vodenje dnevnika obdelave. Preveriti morate torej, ali so v vašem primeru in v vaših okoliščinah, upoštevaje obseg obdelave osebnih podatkov, vrste osebnih podatkov in intenzivnost obdelave podani pogoji, ki terjajo vodenje dnevnikov obdelave.

Klasične kadrovske evidence praviloma – kar ne izključuje drugačne ugotovitve v posebnih okoliščinah – ne implicirajo obsežnih obdelav posebnih vrst osebnih podatkov, zelo verjetno pa gre za redno in sistematično spremljanje posameznikov, saj se obdelave osebnih podatkov zaposlenih v večini organizacij izvajajo redno in sistematično že po naravi stvari (obračun plač, prispevkov, odsotnost in prisotnost na delovnem mestu in izraba dopusta, spremljanje delovne uspešnosti ipd.), zato je po vsej verjetnosti ta pogoj v večini organizacij izpolnjen, mora pa to presojo v prvi vrsti opraviti upravljavec. Pri tem pojasnjujemo, da se v okviru nezavezujočih mnenj ne moremo izrekati o zakonitosti ali skladnosti konkretnih postopkov oziroma obdelav osebnih podatkov, temveč se o tem lahko opredeljujemo le v okviru uradnih inšpekcijskih postopkov.

Podrobnejše razlage pojmov kot so »redno in sistematično spremljanje«, so podane v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Evropskega odbora za varstvo podatkov (EDPB).

Po mnenju Evropskega odbora za varstvo podatkov izraz »redno« pomeni eno ali več od naslednjega:

ki poteka ali nastopa v določenih intervalih in določenem obdobju;

ki se izvaja večkrat ali se ponavlja ob določenem času;

ki se izvaja stalno ali periodično.

Izraz »sistematično« pa pomeni eno ali več od naslednjega:

ki se izvaja v skladu s sistemom;

ki je vnaprej določeno, organizirano ali metodično;

ki poteka kot del splošnega načrta zbiranja podatkov;

ki se izvaja kot del strategije.

V smernicah so navedeni primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki: upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, videonadzorni sistemi, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd. Opozarjamo, da nabor ni izčrpen in ne pomeni, da se vodenje dnevnika nanaša zgolj na določene poslovne dejavnosti, ki jih opravlja subjekt, temveč gre lahko tudi za notranje poslovne funkcije, kot je obdelava osebnih podatkov zaposlenih.

Zaključno pojasnjujemo, da ZVOP-2 izrecno ne določa načina vodenja dnevnikov obdelav. Predvidevamo, da kadrovske evidence vodite pretežno na elektronski način, zato se načeloma da zabeležiti oziroma naknadno razbrati, kdaj je bil določen osebni podatek vnesen v zbirko osebnih podatkov oziroma zabeležen. Pri tem je treba upoštevati, kakšen je sploh namen vodenja dnevnikov obdelave – glede na določbe tretjega odstavka 22. člena ZVOP-2 se dnevnik obdelave uporablja le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov. Če bi se npr. čez čas izkazalo, da je prišlo do napake pri obračunu plače določenega zaposlenega, ker ni bil upoštevan podatek o sobivanju z otrokom, se lahko s pomočjo dnevnika obdelave ugotovi, ali in kdaj je bil (ali ne) zadevni podatek oz. potrdilo vneseno v zbirko podatkov.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

Pripravil:

mag. Andrej Tomšič, namestnik informacijske pooblaščenke

---

[1] Dostopno na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.