Obdobje hrambe revizijske sledi

Datum

28.06.2023

Številka

07121-1/2023/874

Kategorije

Bančništvo

Pri Informacijskem pooblaščencu (IP) smo dne 19. 6. 2023 prejeli vaše zaprosilo za mnenje glede hrambe revizijske sledi oziroma evidence dejavnosti obdelave v bančnem sektorju. Zanima vas, ali gre v primeru hrambe revizijske sledi za primere v skladu z 240. členom ZPlaSSIED za specialnejšo zakonsko ureditev glede na določbe ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Glede določitve roka hrambe dnevnika obdelave ZVOP-2 predstavlja lex generalis, obenem pa izrecno predpisuje možnost odstopa od splošnega pravila v področni zakonodaji. Takšen primer predstavlja šesti odstavek 240. člena Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih, ki kot lex specialis na področju zagotavljanja plačilnih storitev določa daljši rok hrambe in sicer deset let po njihovem posredovanju.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov, zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec pa lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave. IP na podlagi navedenega meni, da dnevnike obdelave glede na namen njihovega vodenja (zagotavljanje sledljivosti) lahko primerjamo s 5. točko prvega odstavka 24. člena prej veljavnega ZVOP-1.

ZVOP-2 v petem odstavku 22. člena določa, da se vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Daljši rok hrambe je dopusten tudi v primerih, kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, in sicer se v tovrstnih primerih sme hraniti dnevnik obdelave največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

Glede določitve roka hrambe dnevnika obdelave ZVOP-2 predstavlja lex generalis, obenem pa izrecno predpisuje možnost odstopa od splošnega pravila v področni zakonodaji. Takšen primer predstavlja šesti odstavek 240. člena Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18, 9/18 – popr. in 102/20), ki kot lex specialis na področju zagotavljanja plačilnih storitev določa obveznost ponudnika plačilnih storitev ali udeleženca plačilnega sistema, da za vsako posredovanje zaupnih podatkov zagotovi, da je mogoče pozneje ugotoviti, kateri zaupni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje desetih let po posredovanju teh podatkov.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka