- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Vodenje dnevnikov obdelave
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Vodenje dnevnikov obdelave
Datum
24.02.2025
Številka
07121-1/2025/226
Kategorije
Varnost osebnih podatkov
Pri Informacijski pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje in sicer ste pojasnili, da ste javno podjetje v popolni lasti sedmih občin, za katere ste izvajalec gospodarske javne službe (GJS) oskrbe s pitno vodo, odvajanja in čiščenja in zbiranja odpadkov. K izvajanju GJS spada tudi obdelava osebnih podatkov, ki ste jih pridobili za potrebe obračuna komunalnih storitev. Te podatke usklajujete s CRP. Prosite nas za mnenje, ali ste po 22. členu ZVOP-2 zavezanci za vodenje dnevnika obdelave.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je določena obdelava osebnih podatkov skladna z zakonodajo o varstvu osebnih podatkov oziroma ali v konkretnem primeru upravljavec/obdelovalec izpolnjuje kriterije glede določenih zakonskih obveznosti, temveč lahko izven uradnega inšpekcijskega postopka podamo le nezavezujoče mnenje na osnovi informacij, ki in kot so nam bile predstavljene. Gre za dolžnost upravljavca ali obdelovalca, da samostojno oceni, ali je zavezan k vodenju dnevnikov obdelave na podlagi kriterijev, ki jih določa zakon, in IP izven uradnih inšpekcijskih postopkov ne more prevzemati te odgovornosti namesto zavezancev.
Prvi odstavek 22. člena ZVOP-2 določa kriterije, kdaj je vodenje dnevnikov obdelave obvezno, in sicer:
· kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov,
· ali kadar gre za redno in sistematično spremljanje posameznikov,
· ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave,
· ali če tako določa zakon.
ZVOP-2 torej kot kriterijev za vodenje dnevnika obdelave ne opredeljuje posebnih oziroma specifičnih posameznih ravnanj nad osebnimi podatki, kot so primeroma zgoraj našteta (npr. vnos podatkov), temveč se osredotoča na širši proces obdelave ali zbirko osebnih podatkov.
V primeru izvajalcev gospodarske javne službe oskrbe s pitno vodo, odvajanja in čiščenja in zbiranja odpadkov prvi kriterij praviloma ni izpolnjen, saj praviloma ne izvajajo obsežne obdelave posebnih vrst osebnih podatkov (kot so nor. podatki, povezani z zdravjem).
Glede drugega kriterija pa morate preveriti, ali so v vašem primeru in v vaših okoliščinah, upoštevaje obseg obdelave osebnih podatkov, vrste osebnih podatkov in intenzivnost obdelave podani pogoji, ki terjajo vodenje dnevnikov obdelave. »Klasične« kadrovske evidence praviloma – kar ne izključuje drugačne ugotovitve v posebnih okoliščinah – ne implicirajo obsežnih obdelav posebnih vrst osebnih podatkov, zelo verjetno pa gre za redno in sistematično spremljanje posameznikov, saj se obdelave osebnih podatkov zaposlenih v večini organizacij izvajajo redno in sistematično že po naravi stvari (obračun plač, prispevkov, odsotnost in prisotnost na delovnem mestu in izraba dopusta, spremljanje delovne uspešnosti ipd.), zato je po vsej verjetnosti ta pogoj v večini organizacij izpolnjen, mora pa to presojo v prvi vrsti opraviti upravljavec. Po vsej verjetnosti je ta pogoj izpolnjen tudi v primeru obdelav za potrebe obračuna komunalnih storitev.
Podrobnejše razlage pojmov kot so »redno in sistematično spremljanje«, so podane v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Evropskega odbora za varstvo podatkov (EDPB[1]).
Po mnenju Evropskega odbora za varstvo podatkov izraz »redno« pomeni eno ali več od naslednjega:
– ki poteka ali nastopa v določenih intervalih in določenem obdobju;
– ki se izvaja večkrat ali se ponavlja ob določenem času;
– ki se izvaja stalno ali periodično.
Izraz »sistematično« pa pomeni eno ali več od naslednjega:
– ki se izvaja v skladu s sistemom;
– ki je vnaprej določeno, organizirano ali metodično;
– ki poteka kot del splošnega načrta zbiranja podatkov;
– ki se izvaja kot del strategije.
V smernicah so navedeni primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki: upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, videonadzorni sistemi, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd. Opozarjamo, da nabor ni izčrpen in ne pomeni, da se vodenje dnevnika nanaša zgolj na določene poslovne dejavnosti, ki jih opravlja subjekt, temveč gre lahko tudi za notranje poslovne funkcije, kot je obdelava osebnih podatkov zaposlenih.
Glede zadnjega kriterija, ko vodenje dnevnika obdelave zahteva zakon, podajamo primer videonadzora, kjer dvanajsti odstavek 76. člena ZVOP-2 določa, da upravljavec videonadzornega sistema za vsak vpogled ali uporabo posnetkov zagotovi možnost naknadnega ugotavljanja, kateri posnetki so bili obdelani, kdaj in kako so bili uporabljeni ali komu so bili posredovani, kdo je izvedel ta dejanja obdelave, kdaj in s kakšnim namenom ali na kateri pravni podlagi. Te podatke hrani v dnevniku obdelave iz 22. člena ZVOP-2 dve leti po koncu leta, ko so nastali.
Priporočamo vam tudi ogled naslednjih že izdanih mnenje IP:
· Vsebina dnevnikov obdelave (05.06.2023, št.: 07121-1/2023/751): https://www.ip-rs.si/mnenja-zvop-2/vsebina-dnevnikov-obdelave-1685961118;
· Roki hrambe dnevnikov obdelave oz. revizijskih sledi obdelave osebnih podatkov v banki (22.08.2023, št.:07120-1/2023/1072): https://www.ip-rs.si/mnenja-zvop-2/roki-hrambe-dnevnikov-obdelave-oz-revizijskih-sledi-obdelave-osebnih-podatkov-v-banki-1695105677;
· Vodenje dnevnikov obdelav (12.06.2023, št.: 07120-1/2023/323): https://www.ip-rs.si/mnenja-zvop-2/vodenje-dnevnikov-obdelav-1687330221.
Lepo vas pozdravljamo,
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Pripravil:
Matej Sironič, namestnik informacijske pooblaščenke
---
[1] https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf