Obveznost vodenja dnevnika obdelave

Datum

08.04.2025

Številka

07121-1/2025/434

Kategorije

Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti vodenja dnevnikov obdelave iz 22. člena ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da v vašem zaprosilu za mnenje omenjene obdelave vsekakor lahko vsebujejo posamezne elemente oziroma izpolnjujejo posamezne zgoraj navedene kriterije, za katere 22. člen ZVOP-2 zahteva vodenje dnevnikov obdelave, podaja dokončnega odgovora glede posameznih konkretnih obdelav pa je mogoča samo ob poznavanju vseh okoliščin posameznega primera.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru, zato v nadaljevanju podaja splošna pojasnila.

IP pojasnjuje, da ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, njegovo vsebino, namen njegove uporabe in rok hrambe. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov, zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave.

IP meni, da odgovornost za vodenje oziroma zagotavljanje dnevnika obdelave primarno nosi upravljavec osebnih podatkov. IP pojasnjuje, da vodenje dnevnika obdelave po ZVOP-2 ni obvezno za vse programske rešitve oziroma v terminologiji ZVOP-2 »avtomatizirane sisteme obdelave osebnih podatkov«, temveč le v tistih primerih, ki jih določa prvi odstavek 22. člena ZVOP-2:

-

ko gre za obsežne obdelave posebnih vrst osebnih podatkov, ali

-

kadar gre za redno in sistematično spremljanje posameznikov, ali

-

kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali

-

če tako določa zakon.

IP izven konkretnega nadzornega ali drugega upravnega postopka ne more presojati, ali je v posameznih primerih, ki jih navajate v vašem zaprosilu za mnenje, obvezno vodenje dnevnika obdelave, poudarja pa, da bi moral zgoraj navedene kriterije primarno presoditi posamezni upravljavec. IP ob tem pojasnjuje, da bi bilo zelo težko podati generalno oceno, ali v treh primerih, ki jih navajate v vašem zaprosilu za mnenje (podjetja s kadrovskimi sistemi; občine; osnovne šole in vrtci), obstaja obveznost vodenja dnevnika obdelave. Po mnenju IP omenjene obdelave vsekakor lahko vsebujejo posamezne elemente oziroma izpolnjujejo posamezne zgoraj navedene kriterije, za katere 22. člen ZVOP-2 zahteva vodenje dnevnikov obdelave, podaja dokončnega odgovora glede posameznih konkretnih obdelav pa je mogoča samo ob poznavanju vseh okoliščin posameznega primera. Upoštevati je torej treba specifike  vseh okoliščin posamezne obdelave ter zadeve presojati od primera do primera. Ob tem IP dodaja, da pragov oziroma konkretnih številk/meja, kdaj je posamezni kriterij izpolnjen, žal ni na voljo. Meje torej niso določene nominalno, sami kriteriji pa so podobni tistim, ki veljajo za obveznost določitve pooblaščene osebe za varstvo podatkov po 37. členu Splošne uredbe, zato lahko pri tolmačenju besedne zveze »redno in sistematično spremljanje« pomagajo smernice Evropskega odbora za varstvo podatkov (EDPB), ki so dostopne na naslednji povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

Po mnenju EDPB tako izraz »redno« pomeni eno ali več od naslednjega:

-

ki poteka ali nastopa v določenih intervalih in določenem obdobju;

-

ki se izvaja večkrat ali se ponavlja ob določenem času;

-

ki se izvaja stalno ali periodično.

Izraz »sistematično« pa pomeni eno ali več od naslednjega:

-

ki se izvaja v skladu s sistemom;

-

ki je vnaprej določeno, organizirano ali metodično;

-

ki poteka kot del splošnega načrta zbiranja podatkov;

-

ki se izvaja kot del strategije.

Glede velikosti oziroma obsega obdelav pa IP pojasnjuje, da zgoraj navedene smernice priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:

-

število zadevnih posameznikov, na katere se nanašajo osebni podatki – bodisi kot določeno število ali delež ustrezne populacije;

-

količina podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo;

-

trajanje ali stalnost dejavnosti obdelave podatkov in

-

geografska razsežnost dejavnosti obdelave.

IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja konkretnih obdelav osebnih podatkov ne more presojati, ob tem pa pojasnjuje tudi, da je dolžnost vsakega upravljavca, da presodi, kdaj so omenjeni kriteriji iz 22. člena ZVOP-2 izpolnjeni. IP ponavlja, da ob tem priporoča, da upravljavci v vseh primerih temeljito preverijo vse okoliščine posameznih obdelav osebnih podatkov.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka