Vodenje evidence dejavnosti obdelave

Datum

23.07.2025

Številka

07121-1/2025/912

Kategorije

Evidence dejavnosti obdelave

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti vodenja evidence dejavnosti obdelave.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, evidence dejavnosti obdelave ni treba voditi, razen:

-če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali

-obdelava ni občasna ali

-obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne more pa izven nadzornega ali drugega upravnega postopka odločati glede obveznosti upravljavcev v zvezi z obdelavo osebnih podatkov, ki jo izvajajo. Odgovornost za presojo, katere dejavnosti obdelave je treba ustrezno evidentirati, je tako na upravljavcu oziroma obdelovalcu.

IP pojasnjuje, da morajo tako upravljavci kot obdelovalci osebnih podatkov voditi evidenco dejavnosti obdelave. Ta se vodi v pisni, vključno v elektronski obliki, mora pa vsebovati elemente, ki so določeni v prvem (za upravljavce) oziroma drugem (za obdelovalce) odstavku 30. člena Splošne uredbe. Ob tem pa IP pojasnjuje, da peti odstavek 30. člena Splošne uredbe določa izjemo od obveznosti vodenja evidence dejavnosti obdelav. Tako podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, evidence dejavnosti obdelave ni treba voditi, razen:

-če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali

-obdelava ni občasna ali

-obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Podjetja in organizacije, ki zaposlujejo manj kot 250 oseb, morajo torej evidenco dejavnosti obdelave voditi zgolj glede tistih obdelav, ki izpolnjujejo katerega od zgoraj navedenih pogojev.

IP razume vaš pomislek glede tolmačenja petega odstavka 30. člena Splošne uredbe in ob tem pojasnjuje, da je morda ali celo verjetno slovenski prevod Splošne uredbe v tem delu nekoliko dvoumen. Ob tem pa IP navaja, da se v angleški originalni verziji Splošne uredbe peti odstavek 30. člena glasi: »The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10«.

Prav tako k interpretaciji IP prispeva tudi dokument Delovne skupine iz člena 29 (predhodnice Evropskega odbora za varstvo podatkov) »Working party 29 position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR«, ki na koncu prve strani jasno navaja tri primere, ko morajo tudi podjetja ali organizacije, ki zaposluje manj kot 250 oseb, voditi evidenco dejavnosti obdelave, na začetku druge strani pa jasno navaja, da je odnos med temi tremi primeri alternativen.

Lepo vas pozdravljamo,

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka