- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Evidenca dejavnosti obdelave
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Evidenca dejavnosti obdelave
Datum
03.10.2023
Številka
07121-1/2023/1247
Kategorije
Evidence dejavnosti obdelave, Informiranje posameznika
Informacijski pooblaščenec je prejel vaše zaprosilo za mnenje glede evidence dejavnosti obdelave. Navajate, da imate trenutno v vaših evidencah o obdelavi pod pravno podlago navedenih več členov iz različnih zakonov, ki naj bi opredeljevali pravno podlago za obdelavo osebnih podatkov. Ob pregledu evidenc se vam je zastavilo vprašanje, ali je sploh potrebno navajati besedilo členov. Menite, da bi kot pravna podlaga zadostovala navedba podlage po 6. členu GDPR, npr. pogodba, zakon itd. brez natančnejšega navajanja posameznih členov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Navedba pravne podlage ni obvezna sestavina evidenc dejavnosti obdelave po 30. členu Splošne uredbe, vsekakor pa je njena navedba pri vsaki evidentirani dejavnosti priporočljiva.
IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca skladno s prvim odstavkom 30. člena Splošne uredbe vsebuje vse naslednje informacije:
-naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
-namene obdelave;
-opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
-kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
-kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka 49(1) člena Splošne uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
-kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
-kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz 32(1) člena Splošne uredbe.
V drugem odstavku 30. člena Splošne uredbe so predpisane tudi sestavine evidence dejavnosti obdelave, ki jih mora voditi obdelovalec oz. predstavnik obdelovalca.
Iz navedenega torej izhaja, da pravna podlaga ni obvezna sestavina evidenc dejavnosti obdelave, vsekakor pa je njena navedba pri vsaki evidentirani dejavnosti priporočljiva. Vsekakor pa navajanje besedila konkretnih členov zaradi eventualnih sprememb zakonodaje in same preglednosti evidenc verjetno ni smiselno (zadostovala bi torej navedba konkretne pravne podlage). Več o evidencah dejavnosti obdelave in novostih, ki so s tem v zvezi začele veljati s pričetkom veljavnosti ZVOP-2 lahko preberete na povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/evidenca-dejavnosti-obdelave.
Obveznost evidentiranja pravne podlage je obstajala za katalog zbirke osebnih podatkov, ki so ga upravljavci vodili skladno z ZVOP-1 in so bili dolžni nekatere podatke prijavljati v register zbirk osebnih podatkov pri IP. Opozarjamo, da je z uveljavitvijo ZVOP-2 (26.1.2023) prenehal veljati ZVOP-1 in torej tudi določbe glede sprejema kataloga zbirk osebnih podatkov ter prijave zbirk v register IP – ta dolžnost je sicer prenehala za večino zavezancev že s sprejemom Splošne uredbe. Zavezanci po ZVOP-2 torej nimajo več teh dolžnosti, morajo pa upoštevati dolžnosti glede evidentiranja dejavnosti obdelave po Splošni uredbi.
Opozarjamo, da mora upravljavec že pred zbiranjem osebnih podatkov določiti ustrezno pravno podlago za obdelavo osebnih podatkov v povezavi z konkretnim namenom njihove obdelave. Pravne podlage upravljavec naknadno ne more samovoljno spreminjati, informacijo o namenu in pravni podlagi za obdelavo osebnih podatkov pa mora upravljavec posamezniku posredovati ko pridobi njegove osebne podatke skladno s 13. členom Splošne uredbe (če osebne podatke pridobi neposredno od posameznika) oz. 14. členom Splošne uredbe (če osebne podatke pridobi z drugega vira). Več o obveščanju posameznikov lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.
Prijazen pozdrav.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo