- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Vprašanja v zvezi z vodenjem dnevnika obdelave
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Vprašanja v zvezi z vodenjem dnevnika obdelave
Datum
17.03.2023
Številka
07120-1/2023/139
Kategorije
Varnost osebnih podatkov
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede razlage in pravilne uskladitve procesov obdelave oziroma beleženjem revizijskih sledi z 22. členom ZVOP-2. Zanima vas:
1.Ali je v primeru, ko upravljavec na podlagi ocene učinka ugotovi, da je vzpostavitev dnevnikov obdelave primeren ukrep za zavarovanje osebnih podatkov, nujno, da se določi globina revizijske sledi v obsegu, kot izhaja iz prvega odstavka 22. člena ZVOP-2 ali pa lahko v teh primerih upravljavec globino revizijske sledi v dnevniku obdelave prilagodi (zmanjša/poveča) glede na konkretna tveganja, ki so bila identificirana v oceni učinka?
2.Ali lahko razlagate 22. člen ZVOP-2 na način, da je vzpostavitev dnevnika obdelave dopusten ukrep zavarovanja tudi v primerih, ko sicer ni narejena ocena učinka na podlagi 35. člena Splošne uredbe, ampak je tak ukrep opredeljen kot primeren (le) na podlagi ocene tveganj iz 32. člena Splošne uredbe?
3.Ali je treba peti odstavek 22. člena ZVOP-2 razlagati na način, da zakon določa rok hrambe revizijskih sledi za vse dnevnike obdelav, ki nastajajo pri upravljavcu (ne zgolj za tiste, ki se vodijo v zvezi z osebnimi podatki)? Oziroma drugače, glede na to, da je vsak dnevnik obdelave tudi zbirka osebnih podatkov, ali je treba razlagati ZVOP-2 na način, da v petem odstavku 22. člena določa rok hrambe osebnih podatkov za vse tovrstne (dnevniške) zbirke in ne zgolj za dnevnike v zvezi z obdelavami osebnih podatkov?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.
IP meni, da je vodenje dnevnika obdelave obvezno v primerih, ki jih določa prvi odstavek 22. člena ZVOP-2, dopustno pa ga je voditi tudi, če ga upravljavec oceni kot ustrezen ukrep na podlagi ocene tveganj iz 32. člena Splošne uredbe. Prav tako lahko upravljavec globino revizijske sledi prilagodi glede na konkretna tveganja, ki so bila identificirana v oceni učinka, a le v smislu morebitnega povečanja obsega dejanj obdelave, saj je vodenje dnevnika za dejanja obdelave, ki so določena v prvem odstavku 22. člena ZVOP-2, obvezno in te dolžnosti upravljavec ne more obiti.
Rok hrambe iz petega odstavka 22. člena ZVOP-2 velja za dnevnike v zvezi z obdelavami osebnih podatkov.
Obrazložitev
Splošna uredba v 32. členu določa, da se pri določanju ustrezne ravni varnosti upoštevajo predvsem tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Vsak zavezanec mora zato sam presoditi, kakšno stopnjo varnosti potrebuje, pri tem pa mora upoštevati stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Med ukrepe, ki jih primeroma predpisuje Splošna uredba, sodijo:
-psevdonimizacija in šifriranje osebnih podatkov;
-zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
-zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
-postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
ZVOP-2 glede varnosti podatkov vsebuje dodatne zahteve, ki jih morajo upoštevati zavezanci. 22. člen ZVOP-2 ureja vodenje dnevnika obdelave, kar smo prej poznali pod izrazom »sledljivosti«. Določa, da upravljavci po tem zakonu zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe vodijo dnevnik obdelave:
1.kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali
2.kadar gre za redno in sistematično spremljanje posameznikov, ali
3.kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali
4.če tako določa zakon.
IP meni, da je vodenje dnevnika obdelave v teh primerih obvezno. Ker pa je podrobnejše organizacijske, tehnične in logično tehnične postopke ter ukrepe za varnost osebnih podatkov v sistemskem zakonu zelo težko določiti, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki, in ker Splošna uredba ukrepov za zagotovitev varnosti obdelave ne predpisuje taksativno, lahko upravljavci dnevnike obdelave vodijo tudi na podlagi ocene tveganj iz 32. člena Splošne uredbe, seveda pod pogojem, da gre za ustrezen ukrep.
Dnevnik obdelave se zagotovi za naslednja dejanja obdelave osebnih podatkov:
1.zbiranje;
2.spreminjanje;
3.vpogled;
4.razkritje, vključno s prenosi;
5.izbris;
6.druga dejanja obdelave, ki jih določa zakon.
[1]V predlogu ZVOP-2 je pojasnjeno, da lahko drug zakon ali notranji akt določa tudi druge sestavine dnevnika, ki so potrebni za doseganje namena, če to zahteva ocena učinka v zvezi s konkretno obdelavo. Upoštevaje tudi že zgoraj obrazloženo IP meni, da lahko upravljavec globino revizijske sledi v dnevniku obdelave prilagodi glede na konkretna tveganja, ki so bila identificirana v oceni učinka, a le v smislu morebitnega povečanja obsega dejanj obdelave, saj je vodenje dnevnika za dejanja obdelave, ki so določena v prvem odstavku 22. člena ZVOP-2, obvezno in te dolžnosti upravljavec ne more obiti.
IP meni, da je treba peti odstavek 22. člena ZVOP-2 razlagati na način, da je v tej določbi predpisan rok hrambe za dnevnike v zvezi z obdelavami osebnih podatkov.
Več o dnevniku obdelave si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.
Lepo vas pozdravljamo,
Pripravila
Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
---
[1]https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208.