Vodenje evidence deavnosti obdelave in dnevnika obdelave

Datum

13.02.2024

Številka

07121-1/2024/146

Kategorije

Evidence dejavnosti obdelave, Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vodenja evidence dejavnosti in dnevnika obdelave osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelovalci osebnih podatkov morajo voditi evidenco dejavnosti obdelave, razen če zanje ne velja izjema iz petega odstavka 30. člena Splošne uredbe.

Odgovornost za vodenje oziroma zagotavljanje dnevnika obdelave primarno nosi upravljavec osebnih podatkov.

V skladu s prehodno določbo 120. člena ZVOP-2 morajo upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne more pa izven nadzornega ali drugega upravnega postopka odločati glede obveznosti upravljavcev v zvezi z obdelavo osebnih podatkov, ki jo izvajajo. Odgovornost za presojo, katere dejavnosti obdelave je treba ustrezno evidentirati, je tako na upravljavcu oziroma obdelovalcu (v konkretnem primeru na vašem podjetju).

IP pojasnjuje, da morajo obdelovalci osebnih podatkov prav tako kot upravljavci voditi evidenco dejavnosti obdelave. Ta se vodi v pisni, vključno v elektronski obliki, mora pa v skladu z drugim odstavkom 30. člena Splošne uredbe vsebovati naslednje elemente:

·naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;

·vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

·kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

·kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

Ob tem pa IP pojasnjuje, da peti odstavek 30. člena Splošne uredbe določa izjemo od obveznosti vodenja evidence dejavnosti obdelav. Tako podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, evidence dejavnosti obdelave ni treba voditi, razen:

-če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali

-obdelava ni občasna ali

-obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Obdelovalci, ki zaposlujejo manj kot 250 oseb, morajo torej evidenco dejavnosti obdelave voditi zgolj glede tistih obdelav, ki izpolnjujejo katerega od zgoraj navedenih pogojev.

IP nadalje pojasnjuje, da ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, njegovo vsebino, namen njegove uporabe in rok hrambe. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov, zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave.

IP meni, da odgovornost za vodenje oziroma zagotavljanje dnevnika obdelave primarno nosi upravljavec osebnih podatkov (v konkretnem primeru torej vaš naročnik). IP pojasnjuje, da vodenje dnevnika obdelave po ZVOP-2 ni obvezno za vse programske rešitve oziroma v terminologiji ZVOP-2 »avtomatizirane sisteme obdelave osebnih podatkov«, temveč le v tistih primerih, ki jih določa prvi odstavek 22. člena ZVOP-2:

-ko gre za obsežne obdelave posebnih vrst osebnih podatkov, ali

-kadar gre za redno in sistematično spremljanje posameznikov, ali

-kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali

-če tako določa zakon.

IP izven konkretnega nadzornega ali drugega upravnega postopka ne more presojati, ali je v primeru, ki ga navajate v vašem zaprosilu za mnenje, obvezno vodenje dnevnika obdelave, poudarja pa, da, bi moral zgoraj navedene kriterije primarno presoditi upravljavec, torej vaš naročnik (po potrebi tudi v sodelovanju z vami). Ob tem vas IP opozarja tudi na ustrezno ureditev medsebojnega pogodbenega razmerja z upravljavcem skladno z 28. členom Splošne uredbe. Točka h) tretjega odstavka 28. člena Splošne uredbe namreč od obdelovalca zahteva, da da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

IP dodaja še, da morajo v skladu s prehodno določbo 120. člena ZVOP-2 upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona (torej do 26. 1. 2025). Seveda pa morajo upravljavci in obdelovalci ne glede na to še vedno izvajati svoje obveznosti v zvezi z varnostjo obdelave osebnih podatkov v skladu z 32. členom Splošne uredbe, ki prav tako vključujejo obveznost zagotavljanja sledljivosti obdelav, če to zahtevajo tveganja konkretne obdelave.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka