Zagotavljanje skladnosti

Datum

15.02.2024

Številka

07121-1/2024/163

Kategorije

Evidence dejavnosti obdelave, Informiranje posameznika, Pogodbena obdelava podatkov, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede izpolnjevanja obveznosti s področja varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami predpisov s področja varstva osebnih podatkov.

Upravljavci osebnih podatkov morajo voditi evidenco dejavnosti obdelave, razen če zanje ne velja izjema iz petega odstavka 30. člena Splošne uredbe.

Posamezniku je treba v skladu s 13. in 14. členom Splošne uredbe zagotoviti določene informacije o obdelavi osebnih podatkov.

Poskrbeti je treba za ustrezno zavarovanje zbirk osebnih podatkov.

Obrazložitev

IP vas uvodoma splošno usmerja na spletna stran, namenjeno za pomoč majhnim in srednje velikim podjetjem, ki služi kot pomoč pri zagotavljanju skladnosti s pravili varstva osebnih podatkov:

https://upravljavec.si

IP poudarja, da mora upravljavec (v konkretnem primeru lastnik diskoteke) zagotoviti, da vsaka obdelava osebnih podatkov poteka transparentno in skladno z določbami predpisov s področja varstva osebnih podatkov (primarno Splošne uredbe in ZVOP-2.) Poleg zagotovitve ustrezne pravne podlage za obdelavo osebnih podatkov v skladu s prvim odstavkom 6. člena Splošne uredbe mora zagotoviti tudi spoštovanje temeljnih načel iz 5. člena Splošne uredbe.

IP opozarja na evidenco dejavnosti obdelave iz 30. člena Splošne uredbe. Gre za dokument, ki ga morajo voditi določeni upravljavci in obdelovalci osebnih podatkov z namenom, da dokažejo svojo skladnost s predpisi na področju varstva osebnih podatkov. Evidence dejavnosti obdelave je treba voditi v pisni (vključno z elektronsko) obliki tako, da jih je mogoče na zahtevo IP predložiti v pregled. Vsebina takšne evidence je za upravljavce predpisana v prvem odstavku 30. člena Splošne uredbe.

Izjemo od obveznosti vodenja evidence dejavnosti obdelav določa peti odstavek 30. člena Splošne uredbe. Tako podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, evidence dejavnosti obdelave ni treba voditi, razen:

-če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali

-obdelava ni občasna ali

-obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Več o evidenci dejavnosti obdelave si lahko preberete na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/evidenca-dejavnosti-obdelave

IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. Že uvodna določba št. 39 Splošne uredbe med drugim določa, da načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe. Skladno z določbo 13. člena Splošne uredbe je dolžan upravljavec v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

(a)identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;

(g)tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

Dodatno drugi odstavek 13. člena Splošne uredbe o varstvu podatkov zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu.

Informacije se v vsakem primeru posamezniku dajo na način, določen v 12. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov

Na tej podstrani lahko najdete tudi vzorca obvestila posameznikom po 13. oziroma 14. členu Splošne uredbe.

Ob tem mora upravljavec poskrbeti tudi za ustrezno zavarovanje zbirk osebnih podatkov, ki jih vodi. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba v 24., 25. in 32. členu. Ti členi primeroma določajo tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov, oziroma merila in tveganja, ki se naj upoštevajo pri njihovi določitvi. Primeren ukrep oziroma ukrepe za zavarovanje konkretnih osebnih podatkov torej določi sam upravljavec in pri tem skladno s prvim odstavkom 32. člena Splošne uredbe upošteva: najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Pri izvedbi posameznih postopkov in ukrepov je treba vedno upoštevati tudi načela iz 5. člena Splošne uredbe, med drugim tudi načelo celovitosti in zaupnosti, v skladu s katerim se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Upravljavec mora poskrbeti za to, da bodo podatki varni, kar pomeni, da ne smejo biti na voljo nepooblaščenim osebam (zaupnost), da se jih ne sme izgubiti, javno objaviti ali nepooblaščeno spreminjati (celovitost) in da morajo biti na voljo takrat, ko so res potrebni (razpoložljivost). Obdelava osebnih podatkov in njihovo zavarovanje znotraj upravljavca je torej načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

IP nadalje pojasnjuje, da mora upravljavec v primeru, da obdelavo osebnih podatkov v njegovem imenu izvaja obdelovalec (npr. varnostna služba), z njim skleniti pisno pogodbo ali drug ustrezen akt. Najmanjši obseg sestavin pogodbe o obdelavi podatkov, ki jo skleneta upravljavec in obdelovalec, določa 28. člen Splošne uredbe. Več o pogodbeni obdelavi osebnih podatkov si lahko preberete na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava#a2

IP sklepno poudarja, da je presoja glede zakonitosti obdelave in ustreznih postopkov in ukrepov za njeno zagotovitev primarno vedno na upravljavcu osebnih podatkov, ki je za to presojo tudi odgovoren.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka