Vodenje dnevnikov obdelave

Datum

04.04.2023

Številka

07120-1/2023/182

Kategorije

Rok hrambe OP

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vodenja dnevnika obdelave osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da dnevnike obdelave glede na namen njihovega vodenja (zagotavljanje sledljivosti) lahko primerjamo s 5. točko prvega odstavka 24. člena prej veljavnega ZVOP-1.

Glede hrambe dnevnika obdelave v poštev lahko pride dveletni oziroma petletni rok od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. V kolikor področna zakonodaja tako določa, je rok hrambe lahko tudi ustrezno daljši.

V skladu s prehodno določbo 120. člena ZVOP-2 morajo upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona.

Obrazložitev

IP uvodoma pojasnjuje, da v okviru neobvezujočega mnenja ne more presojati ustreznosti določene rešitve, niti ne more vnaprej potrjevati posameznih rešitev ali konkretnih dejanj obdelave osebnih podatkov z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. V nadaljevanju IP zato podaja splošna pojasnila, na podlagi katerih lahko tisti, ki podatke obdeluje, ugotavlja skladnost svojega ravnanja s predpisi s področja varstva osebnih podatkov.

IP pojasnjuje, da ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, njegovo vsebino, namen njegove uporabe in rok hrambe. V skladu s četrtim odstavkom 22. člena ZVOP-2 se tako vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov, zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec pa lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave. IP na podlagi navedenega meni, da dnevnike obdelave glede na namen njihovega vodenja (zagotavljanje sledljivosti) lahko primerjamo s 5. točko prvega odstavka 24. člena prej veljavnega ZVOP-1.

Glede roka hrambe IP pojasnjuje, da so določbe ZVOP-2 dokaj jasne in v poštev lahko pride dveletni oziroma petletni rok od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. IP ob tem dodaja, da je, v kolikor področna zakonodaja tako določa, rok hrambe lahko tudi ustrezno daljši.

Opozoriti je treba tudi na to, da se, kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena ZVOP-2 (omejitve pravic posameznikov in obveznosti ter nalog upravljavcev in obdelovalcev), vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.

IP dodaja še, da morajo v skladu s prehodno določbo 120. člena ZVOP-2 upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona.

IP sklepno pojasnjuje tudi, da 23. člen ZVOP-2 določa, da se za določene informacijske sisteme smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost. Zakon o informacijski varnosti (Uradni list RS, št. št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O) v 13. členu določa, da mora priglasitelj ob prijavi incidenta poskrbeti za ustrezno zavarovanje dnevniških zapisov oziroma revizijskih sledi, če te obstajajo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka