- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Odgovornost za zagotavljanje revizijske sledi
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Odgovornost za zagotavljanje revizijske sledi
Datum
25.07.2023
Številka
07121-1/2023/971
Kategorije
Pogodbena obdelava podatkov, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede revizijske sledi. Kot ste pojasnili vaše podjetje med drugim opravlja storitve razvoja programske opreme za znanega naročnika. Naročnik vam predstavi svoje zahteve in želje, vi pa temeljito analizirate ter pripravite časovni in finančni načrt za izvedbo projekta. Imate pa vprašanje vezano na revizijsko sled in varstvo osebnih podatkov v programski opremi in sicer ali morate kot razvijalec programske opreme za znanega naročnika zakonsko obvezno vključiti beleženje revizijske sledi ali se ravnate po naročnikovi želji in kako je z odgovornostjo v tem primeru?
Naleteli ste na situacijo v bližnji preteklosti, ko ste potencialnega naročnika ob začetku projekta opozorili, da zaradi obdelave osebnih podatkov, ki jih bo izvajal s pomočjo programske opreme, morate vključiti tudi programiranje beleženja revizijske sledi, da zadostite zahtevam zakonodaje. Kljub temu se je naročnik zavestno odločil, da je za njega najpomembnejši dejavnik najnižja cena, in na ta način zavrnil programiranje revizijske sledi. Projekt sicer ni bil realiziran, saj niste bili izbrani izvajalec.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP meni, da odgovornost za vodenje oziroma zagotavljanje dnevnika obdelave nosi upravljavec osebnih podatkov, torej naročnik. Kolikor gre za pogodbeno obdelavo osebnih podatkov Splošna uredba od obdelovalca zahteva, da da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena Splošne uredbe, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje (točka (h) prvega pododstavka 28. člena Splošne uredbe). V zvezi s tem obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši Splošno uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.
Obrazložitev
Vodenje revizijske sledi obdelave osebnih podatkov oz. t.i. »dnevnika obdelave« ureja 22. člen ZVOP-2, ki določa naslednje:
(1)Zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov:
1.zbiranje;
2.spreminjanje;
3.vpogled;
4.razkritje, vključno s prenosi;
5.izbris;
6.druga dejanja obdelave, ki jih določa zakon.
(2)Dnevnik obdelave iz prejšnjega odstavka mora za dejanja obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka.
(3)Dnevnik obdelave se uporablja le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.
(4)Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave.
(5)Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena tega zakona, se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.
Odgovornost za vodenje oziroma zagotavljanje dnevnika obdelave nosi upravljavec osebnih podatkov, torej naročnik. Vodenje dnevnika obdelave po ZVOP-2 ni obvezno za vse programske rešitve oziroma v terminologiji ZVOP-2 »avtomatizirane sisteme obdelave osebnih podatkov«, temveč v tistih primerih, ki jih določa zgoraj navedeni prvi odstavek 22. člena ZVOP-2: ko gre za obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon (npr. pri izvajanju videonadzora po ZVOP-2).
Podrobnejša pojasnila in obrazložitve kriterijev najdete na naši spletni strani:
https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov
Ali je v primeru, ki ga omenjate, bilo obvezno vodenje dnevnika obdelave žal izven konkretnega inšpekcijskega postopka ne moremo presojati, vsekakor pa bi moral kriterije v prvi vrsti presoditi naročnik, po potrebi tudi z mnenjem ponudnika. Pri tem seveda lahko pride do različnih stališč naročnika in ponudnika – kolikor naročnik ne bi želel sprejeti stališča ponudnika, ki meni, da je v konkretnem primeru zagotavljanje dnevnika obdelave obvezno, in bi vztrajal pri izdelavi programske rešitve, ki ne zagotavlja dnevnika obdelave, vam svetujemo, da imate o tem pisne dokaze, da ste o vašem stališču jasno obvestili naročnika in da kljub temu vztraja pri rešitvi brez zagotovljenega dnevnika obdelave.
Če bi imeli za naročnika status pogodbenega obdelovalca osebnih podatkov vas opozarjamo na ustrezno ureditev medsebojnega pogodbenega razmerja skladno z 28. členom Splošne uredbe ter na dolžnost opozarjanja naročnika oz. upravljavca, če bi menili, da bi njegova navodila kršila predpise o varstvu osebnih podatkov.
Točka h) 28. člena Splošne uredbe namreč od obdelovalca zahteva, da da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje. V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši Splošno uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.
Več o pogodbeni obdelavi osebnih podatkov si lahko preberete na naši spletni strani:
https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka
Pripravil
mag. Andrej Tomšič, namestnik informacijske pooblaščenke