Vodenje dnevnikov obdelav

Datum

12.06.2023

Številka

07120-1/2023/323

Kategorije

Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 2. 6. 2023 prejeli vaše zaprosilo za mnenje glede vodenja dnevnikov obdelave. Zanima vas, ali je dopustno dnevnik obdelave zaradi zagotavljanja notranje sledljivosti obdelav osebnih podatkov voditi tudi v primerih, ko gre za obdelave osebnih podatkov, ki niso navedene v prvem odstavku 22. člena ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da lahko upravljavci dnevnike obdelave vodijo tudi v primerih obdelave osebnih podatkov, ki niso navedeni v 1. odstavku 22. člena ZVOP-2, če na podlagi ocene tveganj iz 32. člena Splošne uredbe, ocenijo, da je takšen ukrep ustrezen. V takšnih primerih je vodenje dnevnikov obdelave za upravljavca obvezno, vendar ne na podlagi zakona (ZVOP-2), temveč zaradi obveznosti implementacije ustreznih tehničnih in organizacijskimi ukrepov za zagotovitev ustrezne ravni varnosti podatkov.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov, morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo in obveznosti posameznih upravljavcev. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelav podatkov glede določenih, taksativno naštetih obdelav osebnih podatkov z namenom učinkovitejšega zagotavljanja izvajanja določb Splošne uredbe, ki se nanašajo na varnost podatkov in ocenjevanje tveganj, ki jih predstavlja obdelava osebnih podatkov. V ta namen dnevniki zagotavljajo sledljivost (t. i. revizijska sled) obdelave osebnih podatkov s tem da omogočajo kasnejše ugotavljanje zakonitosti obdelave, celovitosti in varnosti podatkov ter odpravljanje napak v delovanju informacijskega sistema.

Vodenje dnevnikov obdelav podatkov je obvezno:

1.če se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali

2.če gre za redno in sistematično spremljanje posameznikov, ali

3.če je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali

4.če tako določa zakon.

Splošna uredba ukrepov za zagotovitev varnosti obdelave ne predpisuje taksativno, obenem pa je podrobnejše organizacijske, tehnične in logično tehnične postopke ter ukrepe za varnost osebnih podatkov v sistemskem zakonu težko določiti, saj so odvisni od različnih okoliščin obdelave podatkov, zato IP meni, da lahko upravljavci dnevnike obdelave vodijo tudi v primerih obdelave osebnih podatkov, ki niso navedeni v 1. odstavku 22. člena ZVOP-2, če na podlagi ocene tveganj iz 32. člena Splošne uredbe, ocenijo, da je takšen ukrep ustrezen. V takšnih primerih je vodenje dnevnikov obdelave za upravljavca obvezno, vendar ne na podlagi zakona (ZVOP-2), temveč zaradi obveznosti implementacije ustreznih tehničnih in organizacijskimi ukrepov za zagotovitev ustrezne ravni varnosti podatkov.

Več o dnevniku obdelave si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka