- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Vodenje dnevnika obdelave
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Vodenje dnevnika obdelave
Datum
04.03.2025
Številka
07120-1/2025/66
Kategorije
Evidence dejavnosti obdelave
pri Informacijskem pooblaščencu (IP) smo 12. 2. 2025 prejeli vaš dopis, v katerem naprošate za več informacij glede obvestila o zaključku prehodnega obdobja za vodenje dnevnikov obdelave osebnih podatkov, ki ste ga prejeli od Združenja občin Slovenije.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Upravljavci morajo voditi dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, kadar gre za redno in sistematično spremljanje posameznikov, kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave in kadar tako določa zakon. Dnevnik obdelave se zagotovi, kadar gre za zbiranje, spreminjanje, vpogled, razkritje (vključno s prenosi), izbris ali druga dejanja obdelave osebnih podatkov, ki jih določa zakon.
Dnevnik obdelave mora vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.
Obrazložitev
Upravljavci morajo skladno z 22. členom ZVOP-2 voditi dnevnik obdelave, kadar:
se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov,
gre za redno in sistematično spremljanje posameznikov,
je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave,
tako določa zakon.
Podrobnejše razlage pojmov kot so »redno in sistematično spremljanje«, so podane v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Evropskega odbora za varstvo podatkov (EDPB[1]).
Po mnenju Evropskega odbora za varstvo podatkov izraz »redno« pomeni eno ali več od naslednjega:
– ki poteka ali nastopa v določenih intervalih in določenem obdobju;
– ki se izvaja večkrat ali se ponavlja ob določenem času;
– ki se izvaja stalno ali periodično.
Izraz »sistematično« pa pomeni eno ali več od naslednjega:
– ki se izvaja v skladu s sistemom;
– ki je vnaprej določeno, organizirano ali metodično;
– ki poteka kot del splošnega načrta zbiranja podatkov;
– ki se izvaja kot del strategije.
V smernicah so navedeni primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki: upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, videonadzorni sistemi, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd. Opozarjamo, da nabor ni izčrpen in ne pomeni, da se vodenje dnevnika nanaša zgolj na določene poslovne dejavnosti, ki jih opravlja subjekt, temveč gre lahko tudi za notranje poslovne funkcije, kot je obdelava osebnih podatkov zaposlenih.
Dnevnik obdelave se zagotovi, kadar gre za zbiranje, spreminjanje, vpogled, razkritje (vključno s prenosi), izbris ali druga dejanja obdelave osebnih podatkov, ki jih določa zakon.
Nadalje drugi odstavek 22. člena ZVOP-2 določa vsebino dnevnika obdelave, in sicer mora dnevnik obdelave za predhodno navedena dejanja obdelave vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Upravljavec lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave.
Dnevnik obdelave se uporablja za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, za izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, za zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov. Upravljavec (in obdelovalec) mora nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočiti dostop do dnevnika obdelave.
Dodatno opozarjamo, da mora upravljavec skladno s šestim odstavkom 41. člena ZVOP-2 za vsako posredovanje osebnih podatkov zagotoviti možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu ZVOP-2.
ZVOP-2 določa, da se vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena ZVOP-2 (omejitev pravic posameznika), se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.
Priporočamo vam tudi ogled naslednjih že izdanih mnenj IP:
•Vsebina dnevnikov obdelave (05.06.2023, št.:07121-1/2023/751): https://www.ip-rs.si/mnenja-zvop-2/vsebina-dnevnikov-obdelave-1685961118;
•Roki hrambe dnevnikov obdelave oz. revizijskih sledi obdelave osebnih podatkov v banki (22.08.2023, št.:07120-1/2023/1072): https://www.ip-rs.si/mnenja-zvop-2/roki-hrambe-dnevnikov-obdelave-oz-revizijskih-sledi-obdelave-osebnih-podatkov-v-banki-1695105677;
•Vodenje dnevnikov obdelav (12.06.2023, št.:07120-1/2023/323): https://www.ip-rs.si/mnenja-zvop-2/vodenje-dnevnikov-obdelav-1687330221.
Lepo vas pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka
---
[1]https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf