Obveznost vodenja evidence dejavnosti obdelave

Datum

12.05.2023

Številka

07120-1/2023/275

Kategorije

Evidence dejavnosti obdelave

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vodenja evidence dejavnosti obdelav.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavcu ni treba voditi evidence dejavnosti obdelave, če zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali obdelava vključuje posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Če upravljavec redno obdeluje osebne podatke v zvezi z zaposlenimi ali drugimi osebami, tovrstna obdelava ne more šteti za občasno obdelavo in bi morala biti vključena v evidenco dejavnosti obdelave.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne more pa izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka odločati glede obveznosti upravljavcev v zvezi z obdelavo osebnih podatkov, ki jo izvajajo. Odgovornost za presojo, katere dejavnosti obdelave je treba ustrezno evidentirati, je tako na upravljavcu (v konkretnem primeru na vašem organu).

IP pojasnjuje, da je evidenca dejavnosti obdelave iz 30. člena Splošne uredbe dokument, ki ga morajo voditi določeni upravljavci in obdelovalci osebnih podatkov z namenom, da dokažejo svojo skladnost s predpisi na področju varstva osebnih podatkov. Evidence dejavnosti obdelave je treba voditi v pisni (vključno z elektronsko) obliki tako, da jih je mogoče na zahtevo IP predložiti v pregled. Vsebina takšne evidence je za upravljavce predpisana v prvem odstavku 30. člena Splošne uredbe.

Izjemo od obveznosti vodenja evidence dejavnosti obdelav določa peti odstavek 30. člena Splošne uredbe. Tako podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, evidence dejavnosti obdelave ni treba voditi, razen:

-če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali

-obdelava ni občasna ali

-obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Glede pojma »občasna obdelava« IP pojasnjuje, da dokument Delovne skupine iz člena 29 »Working party 29 position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR« navaja, da gre v primerih občasne obdelave za obdelavo, ki se ne izvaja redno in pride do nje zunaj rednega poslovanja oziroma aktivnosti upravljavca oziroma obdelovalca. Kot primer navaja redno obdelavo osebnih podatkov v zvezi z zaposlenimi in izpostavlja, da tovrstna obdelava ne more šteti za občasno obdelavo in bi morala biti vključena v evidence dejavnosti obdelave.

Kljub temu pa morajo upravljavci v tem primeru voditi zgolj evidence dejavnosti obdelave glede tistih obdelav, ki so navedene v zgoraj citiranem petem odstavku 30. člena Splošne uredbe. Drugih obdelav, ki npr. štejejo za občasne, tako ni treba vključiti v evidence dejavnosti obdelave, če seveda obdelava ne predstavlja tveganja za pravice in svoboščine posameznikov oziroma ne vključuje posebne vrste osebnih podatkov oziroma osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

Več o evidenci dejavnosti obdelave si lahko preberete na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/evidenca-dejavnosti-obdelave

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka