Vodenje dnevnika obdelav in evidentiranja posredovanja osebnih podatkov

Datum

13.12.2023

Številka

07120-1/2023/530

Kategorije

Posredovanje osebnih podatkov, Pridobivanje OP iz zbirk, Zbirke osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zgoraj navedeno zaprosilo za mnenje glede vprašanja o tem, ali je Ministrstvo za notranje zadeve kot upravljavec Informacijskega sistema upravnih notranjih zadev v primerih, ko osebni podatki v vaših registrih predstavljajo vir za digitalne storitve drugih institucij in ko tudi avtorizacijo in avtentikacijo uporabnika opravi drug sistem, dolžno v dnevnikih dela poleg podatkov o instituciji, ki je pridobila podatke, datumu, času, pravni podlagi, vrsti rešitve, lastnika aplikacije, voditi tudi konkretne podatke o končnem uporabniku spletne storitve, kot so npr. ime, priimek, ali kakšen drug tehnični identifikator (referenčna številka, id seje.......), ki bi ponudniku storitve naknadno omogočala sledljivost končnega uporabnika oz. ali je identifikacija konkretnega končnega uporabnika v teh primerih dolžnost ponudnika storitve in ne upravljavca (vira) podatkov?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi zgoraj navedenimi vprašanji.

1.1. V primeru razkrivanja ali prenosa osebnih podatkov iz zbirke drugim pravnim oziroma fizičnim osebam (uporabnikom), kot je to npr. v primeru, ko se osebni podatki iz registra oz. zbirke osebnih podatkov posredujejo v informacijske sisteme drugih institucij, se te druge institucije štejejo kot uporabniki in hkrati upravljavci tako pridobljenih osebnih podatkov. Upravljavec registra oziroma zbirke, ki na navedeni način posreduje osebne podatke v informacijski sistem druge institucije, je za vsako takšno posredovanje osebnih podatkov dolžan zagotoviti t.i. zunanjo sledljivost, in sicer na način, določen v šestem in sedmem odstavku 41. člena ZVOP-2. To pomeni, da mora za vsako takšno posredovanje zagotoviti možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu tega zakona. Navedene informacije je upravljavec skladno s sedmim odstavkom 41. člena ZVOP-2 dolžan hraniti dve leti, razen če drug zakon za posredovanje posameznih vrst osebnih podatkov določa drugačen rok.

2.2. Upravljavec registra oziroma zbirke, ki služi kot vir podatkov in na zgoraj navedeni način posreduje osebne podatke v informacijski sistem druge institucije, je v okviru evidentiranja posredovanj po šestem odstavku 41. člena ZVOP-2 in v okviru vodenja dnevnika obdelav po 22. členu ZVOP-2 v zvezi s takšnim posredovanjem oz. prenosom osebnih podatkov dolžan voditi le identifikacijo uporabnika oz. subjekta (npr. institucije), kateremu je posredoval določene osebne podatke, ne pa tudi identifikacije oseb, ki so v okviru informacijskega sistema uporabnika izvedle dejanje obdelave oziroma so v okviru informacijskega sistema uporabnika dostopale do tako posredovanih osebnih podatkov.

3.3. Institucija, v katere informacijski sistem se prenesejo osebni podatki iz zbirke osebnih podatkov, ki se kot vir vodijo v okviru informacijskega sistema upravnih notranjih zadev, postane s takšno pridobitvijo osebnih podatkov samostojni upravljavec osebnih podatkov in mora zato skladno z 22. členom ZVOP-2 zagotoviti vodenje svojega dnevnika obdelave, ki mora poleg podatkov o vrsti dejanja obdelave, datumu in času obdelave, vsebovati tudi identifikacijo osebe, ki je izvedla dejanje obdelave, in sicer tako, da je možno naknadno ugotoviti točno identiteto te osebe.

4.4. V primeru, ko se prenos osebnih podatkov iz informacijskega sistema upravnih notranjih zadev v informacijski sistem druge institucije na podlagi povezave zbirk osebnih podatkov izvede avtomatično, mora dnevnik obdelave na strani upravljavca informacijskega sistema upravnih notranjih zadev vsebovati vsaj vrsto dejanja obdelave, vrste osebnih podatkov, ki so bili posredovani, datum in čas obdelave ter identifikacijo uporabnika (institucije). Dnevnik obdelave na strani institucije, v katere informacijski sistem oziroma zbirko so bili preneseni osebni podatki, pa mora vsebovati vrsto dejanja obdelave, vrste osebnih podatkov, ki so bili pridobljeni, ter datum in čas obdelave. Institucija, ki je na takšen način pridobila osebne podate iz informacijskega sistema upravnih notranjih zadev, mora torej kot samostojen upravljavec osebnih podatkov v zvezi z vsemi dejanji obdelave osebnih podatkov v tem sistemu zagotoviti lasten dnevnik obdelave, kot ji to nalaga 22. člen ZVOP-2.

Obrazložitev

IP uvodoma pojasnjuje, da izven nadzornega ali drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov ter da je odgovornost za zakonito in pošteno obdelavo osebnih podatkov vedno na upravljavcu osebnih podatkov.

Pri obdelavi osebnih podatkov, kamor po 4. točki 4. člena Splošne uredbe med drugim sodi tudi zbiranje, shranjevanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, je treba ločiti med t.i. notranjo sledljivostjo obdelave oz. vodenjem dnevnika obdelave, ki je predpisana v 22. členu ZVOP-2 in se primarno nanaša na obdelavo osebnih podatkov znotraj upravljavca, ter t.i. zunanjo sledljivostjo, ki je predpisana v šestem, sedmem, osmem in devetem odstavku 41. člena ZVOP-2 in se nanaša na evidentiranje posredovanja osebnih podatkov drugim subjektom (uporabnikom).

Vodenje dnevnika obdelave oz. zagotavljanje t.i. notranje sledljivosti ureja 22. člen ZVOP-2, ki v prvem odstavku določa:

1.za katere namene je treba voditi dnevnik obdelave, in sicer zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne, t.j. za zagotavljaje varnosti osebnih podatkov in zaradi izdelave ocene učinka;

2.v katerih primerih je treba voditi dnevnik obdelave, in sicer (1) kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali (2) kadar gre za redno in sistematično spremljanje posameznikov, ali (3) kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali (3) če tako določa zakon;

3.za katere dejavnosti obdelave ga je potrebno voditi, in sicer za: 1. zbiranje; 2. spreminjanje; 3. vpogled; 4. razkritje, vključno s prenosi; 5. izbris; in 6. druga dejanja obdelave, ki jih določa zakon.

V drugem odstavku 22. člena ZVOP-2 je določena vsebina dnevnika obdelave, in sicer je določeno, da mora dnevnik obdelave iz prejšnjega odstavka za dejanja obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka.

Tretji odstavek 22. člena ZVOP-2 določa, namene, za katere se dnevnik obdelave lahko uporablja (le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov), v četrtem odstavku pa je določeno, komu lahko upravljavec ali obdelovalec omogoči dostop do dnevnika (nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo). V petem odstavku je nadalje določen še čas hrambe vsebine dnevnika obdelave (dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače ali pa največ pet let od zaključka koledarskega leta, kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe).

Evidentiranje posredovanja osebnih podatkov drugim subjektom (uporabnikom) oz. t.i. zunanja sledljivost je predpisana v šestem, sedmem, osmem in devetem odstavku 41. člena ZVOP-2. V šestem odstavku je določeno, katere informacije je treba zagotoviti ob posredovanju osebnih podatkov, in sicer je določeno, da upravljavec za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu tega zakona. Sedmi odstavek določa rok hrambe informacij, in sicer, da informacije iz prejšnjega odstavka upravljavec hrani dve leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugačen rok. V osmem odstavku je določeno, da šesti in sedmi odstavek tega člena veljata tudi za obdelovalce, če so z zakonom, pogodbo ali drugim dogovorom zavezani posredovati določene osebne podatke, deveti odstavek pa določa, da šesti in sedmi odstavek tega člena ne veljata za osebne podatke, ki jih upravljavec zakonito objavi na svojih spletnih straneh ali na drug ustrezen način, in osebne podatke, za katere ta ali drug zakon določa, da so javni ali javno dostopni.

Kot izhaja iz zgoraj navedenih določb 22. in 41. člena ZVOP-2, je notranja sledljivost oz. dnevnik obdelave namenjen le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, ali izvajanje nadzora s strani nadzornega organa ali drugih pristojnih organov, za zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema, zunanja sledljivost oz. evidentiranje posredovanja osebnih podatkov uporabnikom izven upravljavca pa je namenjena tudi za zagotavljanje in posredovanje informacij posameznikom o tem, katerim uporabnikom so bili posredovani oz. razkriti njihovi osebni podatki.

IP pojasnjuje, da gre v primeru, ko se osebni podatki, ki se vodijo v informacijskem sistemu upravnih notranjih zadev posredujejo v informacijske sisteme drugih institucij, za posredovanje osebnih podatkov drugim uporabnikom, ki se hkrati štejejo tudi kot upravljavci tako pridobljenih osebnih podatkov, zaradi česar je MNZ kot upravljavec zbirk osebnih podatkov, iz katerih se osebni podatki posredujejo, za vsako takšno posredovanje osebnih podatkov dolžan zagotoviti t.i. zunanjo sledljivost, in sicer na način, določen v šestem in sedmem odstavku 41. člena ZVOP-2. To pomeni, da mora za vsako takšno posredovanje zagotoviti možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu tega zakona, navedene informacije pa je skladno s sedmim odstavkom 41. člena ZVOP-2 dolžan hraniti dve leti, razen če drug zakon za posredovanje posameznih vrst osebnih podatkov določa drugače.

Ker gre v takšnem primeru za posredovanje osebnih podatkov drugim uporabnikom, je upravljavec informacijskega sistema upravnih notranjih zadev skladno z določbami šestega odstavka 41. člena ZVOP-2 v okviru evidentiranja posredovanja in v okviru vodenja dnevnika obdelav po 22. členu ZVOP-2 v zvezi s takšnim posredovanjem oz. prenosom osebnih podatkov dolžan voditi le identifikacijo uporabnika oz. subjekta (npr. institucije), ki mu je posredoval določene osebne podatke, ne pa tudi identifikacije oseb, ki so v okviru informacijskega sistema uporabnika izvedle dejanje obdelave oziroma so v okviru informacijskega sistema uporabnika dostopale do tako posredovanih osebnih podatkov.

Institucija, v katere informacijski sistem se prenesejo osebni podatki iz zbirke osebnih podatkov, ki se kot vir vodijo v okviru informacijskega sistema upravnih notranjih zadev, postane s pridobitvijo osebnih podatkov iz zbirke drugega upravljavca samostojni upravljavec osebnih podatkov in mora zato skladno z 22. členom ZVOP-2 zagotoviti vodenje svojega dnevnika obdelave, ki mora poleg podatkov o vrsti dejanja obdelave, datumu in času obdelave, vsebovati tudi identifikacijo osebe, ki je izvedla dejanje obdelave, in sicer tako, da je možno naknadno ugotoviti točno identiteto te osebe. Takšna zahteva je logična že iz razloga, kar upravljavec s tem, ko se osebni podatki iz njegovega informacijskega sistema oz. zbirke posredujejo v informacijski sistem oziroma zbirko druge institucije (uporabnika ali upravljavca), praviloma izgubi kontrolo nad nadaljnjo obdelavo posredovanih osebnih podatkov in zato ne more več zagotavljati sledljivosti nadaljnje obdelave v informacijskem sistemu oz. zbirki drugega upravljavca.

V primeru, ko se prenos osebnih podatkov iz informacijskega sistema upravnih notranjih zadev v informacijski sistem druge institucije na podlagi povezave zbirk osebnih podatkov izvede avtomatično, mora dnevnik obdelave na strani upravljavca informacijskega sistema upravnih notranjih zadev vsebovati vsaj vrsto dejanja obdelave, vrste osebnih podatkov, ki so bili posredovani, datum in čas obdelave ter identifikacijo uporabnika (institucije). Dnevnik obdelave na strani institucije, v katere informacijski sistem oziroma zbirko so bili preneseni osebni podatki, pa mora vsebovati vrsto dejanja obdelave, vrste osebnih podatkov, ki so bili posredovani, ter datum in čas obdelave. Institucija, ki je na takšen način pridobila osebne podate iz informacijskega sistema upravnih notranjih zadev, mora torej kot samostojen upravljavec osebnih podatkov v zvezi z vsemi dejanji obdelave osebnih podatkov v tem sistemu zagotoviti lasten dnevnik obdelave, kot ji to nalaga 22. člen ZVOP-2.

Kot izhaja iz zgoraj navedenih določb 22. člena ZVOP-2, se torej t.i. notranja sledljivost oz. dnevnik obdelave primerno nanaša na zagotavljanje podatkov o obdelavi s strani zaposlenih osebah pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika. Prav tako pa bi se takšna sledljivost morala zagotoviti tudi v primeru, ko upravljavec drugim uporabnikom omogoči, da do njegovih zbirk dostopajo neposredno z vstopom v njegov informacijski sistem, npr. z vstopom prek aplikacije, kot je eRisk. Upravljavec mora v primeru, ko drugim uporabnikom dostop do osebnih podatkov v svojih zbirkah omogoči na takšen način, za vsak takšen dostop zagotoviti tako podatke iz drugega odstavka 22. člena kot tudi informacije iz šestega odstavka 41. člena ZVOP-2.

IP opozarja, da morata tako dnevnik obdelave kot tudi evidentiranje posredovanja osebnih podatkov drugim uporabnikom zajeti tako masovne obdelave osebnih podatkov na administratorski ravni, kot sta izvoz, kopiranje, izbris ali tisk dela ali celotne baze podatkov, kot tudi samo t.i. aplikativne dostope, ko uporabnik posamično obdeluje podatke. Nedopustno bi bilo, da se zabeleži dostop do posameznega podatka, nezabeležen pa ostane izvoz celotne baze ali njenega dela.

IP na koncu še dodaja, da lahko Ministrstvo za notranje zadeve kot upravljavec informacijskega sistema upravnih notranjih zadev ter institucija, v katere informacijski sistem se prenesejo osebni podatki, vodenje zgoraj opisanega evidentiranja posredovanja in dnevnikov obdelav pod pogoji iz 28. člena Splošne uredbe poverita pogodbenemu obdelovalcu, prav tako pa bi lahko institucija, ki prejema osebne podatke, vodenje dnevnikov v svojem informacijskem sistemu s takšno pogodbo zaupala Ministrstvu za notranje zadeve ali ministrstvu, pristojnemu za informacijski sistem javne uprave.

Lepo vas pozdravljamo.

Pripravil

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka