Obveznost vodenja dnevnika obdelave

Datum

14.08.2025

Številka

07121-1/2025/1013

Kategorije

Evidence dejavnosti obdelave, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti vodenja dnevnikov obdelave iz 22. člena ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obveznost vodenja dnevnika obdelave se ne nanaša zgolj na posebne vrste osebnih podatkov, ampak (seveda ob izpolnjenih kriterijih iz 22. člena ZVOP-2) na vse vrste osebnih podatkov v posameznem avtomatiziranem sistemu obdelave. Za vse obdelave, ki izpolnjujejo te pogoje, je torej treba zagotavljati revizijsko sled.

IP meni, da v vašem zaprosilu za mnenje omenjena obdelava vsekakor lahko vsebuje posamezne elemente oziroma izpolnjuje posamezne kriterije, za katere 22. člen ZVOP-2 zahteva vodenje dnevnikov obdelave, podaja dokončnega odgovora pa je mogoča samo ob poznavanju vseh okoliščin posameznega primera.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru, zato v nadaljevanju podaja splošna pojasnila.

IP pojasnjuje, da ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, njegovo vsebino, namen njegove uporabe in rok hrambe. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov, zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave.

IP meni, da odgovornost za vodenje oziroma zagotavljanje dnevnika obdelave primarno nosi upravljavec osebnih podatkov, določene obveznosti glede tega pa ima seveda tudi obdelovalec (v konkretnem primeru vaše podjetje). IP pojasnjuje, da vodenje dnevnika obdelave po ZVOP-2 ni obvezno za vse programske rešitve oziroma v terminologiji ZVOP-2 »avtomatizirane sisteme obdelave osebnih podatkov«, temveč le v tistih primerih, ki jih določa prvi odstavek 22. člena ZVOP-2:

-

-

-

-

IP tako povzema, da se obveznost vodenja dnevnika obdelave ne nanaša zgolj na posebne vrste osebnih podatkov, ampak (seveda ob izpolnjenih kriterijih iz prejšnjega odstavka) na vse vrste osebnih podatkov v posameznem avtomatiziranem sistemu obdelave. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov, zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave. Za vse obdelave, ki izpolnjujejo kriterije iz prejšnjega odstavka, je torej treba zagotavljati revizijsko sled. IP ob tem opozarja, da morajo upravljavci in obdelovalci vselej izvajati svoje obveznosti v zvezi z varnostjo obdelave osebnih podatkov v skladu z 32. členom Splošne uredbe, ki prav tako vključujejo obveznost zagotavljanja sledljivosti obdelav, če to zahtevajo tveganja konkretne obdelave.

IP poudarja, da izven konkretnega nadzornega ali drugega upravnega postopka ne more presojati, ali je v posameznih primerih, ki jih navajate v vašem zaprosilu za mnenje, obvezno vodenje dnevnika obdelave, poudarja pa, da bi moral zgoraj navedene kriterije primarno presoditi posamezni upravljavec - torej vaš naročnik (po potrebi tudi v sodelovanju z vami). Ob tem vas IP opozarja tudi na ustrezno ureditev vašega medsebojnega pogodbenega razmerja z upravljavcem skladno z 28. členom Splošne uredbe. Točka h) tretjega odstavka 28. člena Splošne uredbe namreč od obdelovalca zahteva, da da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje. Glede (pod)obdelovalcev IP pojasnjuje, da kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

IP pojasnjuje, da bi bilo zelo težko podati generalno oceno, ali je v primeru, ki ga navajate v vašem zaprosilu za mnenje (kadrovske evidence različnih naročnikov), obstaja obveznost vodenja dnevnika obdelave. Po mnenju IP omenjena obdelava vsekakor lahko vsebuje posamezne elemente oziroma izpolnjuje posamezne zgoraj navedene kriterije, za katere 22. člen ZVOP-2 zahteva vodenje dnevnikov obdelave, podaja dokončnega odgovora glede posamezne konkretne obdelave pa je mogoča samo ob poznavanju vseh okoliščin posameznega primera. Upoštevati je torej treba specifike vseh okoliščin posamezne obdelave ter zadeve presojati od primera do primera. Ob tem IP dodaja, da pragov oziroma konkretnih številk/meja, kdaj je posamezni kriterij izpolnjen, žal ni na voljo. Meje torej niso določene nominalno, sami kriteriji pa so podobni tistim, ki veljajo za obveznost določitve pooblaščene osebe za varstvo podatkov po 37. členu Splošne uredbe, zato lahko pri tolmačenju besedne zveze »redno in sistematično spremljanje« pomagajo smernice Evropskega odbora za varstvo podatkov (EDPB), ki so dostopne na naslednji povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

Po mnenju EDPB tako izraz »redno« pomeni eno ali več od naslednjega:

-

-

-

Izraz »sistematično« pa pomeni eno ali več od naslednjega:

-

-

-

-

Glede velikosti oziroma obsega obdelav pa IP pojasnjuje, da zgoraj navedene smernice priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:

-

-

-

-

IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja konkretnih obdelav osebnih podatkov ne more presojati, ob tem pa pojasnjuje tudi, da je dolžnost vsakega upravljavca, da presodi, kdaj so omenjeni kriteriji iz 22. člena ZVOP-2 izpolnjeni. IP ponavlja, da ob tem priporoča, da upravljavci v vseh primerih temeljito preverijo vse okoliščine posameznih obdelav osebnih podatkov.

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka