Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Evidenca dejavnosti obdelave

+ -
Datum: 25.05.2022
Številka: 07120-1/2022/169
Kategorije: Evidence dejavnosti obdelave

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vodenja evidence dejavnosti obdelav.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Evidenca dejavnosti obdelave je primarno namenjena internemu pregledu in nadzoru nad postopki obdelav osebnih podatkov, ki jih izvaja posamezni upravljavec oziroma obdelovalec. Pripraviti je torej treba opis vsake zbirke osebnih podatkov, ki jo vodite, zlasti ločeno glede na namen obdelave in rok hrambe osebnih podatkov.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke. Zato IP na vaše vprašanje v okviru tega mnenja ne more dokončno odgovoriti oziroma podati konkretnih usmeritev, temveč v nadaljevanju podaja zgolj splošna pojasnila. Odgovornost za presojo, katere dejavnosti obdelave je treba ustrezno evidentirati, je na upravljavcu (v konkretnem primeru na vaši občini).

IP nadalje pojasnjuje, da ste v skladu s 30. členom Splošne uredbe o varstvu podatkov kot upravljavec osebnih podatkov v evidenci dejavnosti obdelave zavezani voditi vse vaše obdelave osebnih podatkov. Evidenca dejavnosti obdelave je primarno namenjena internemu pregledu in nadzoru nad postopki obdelav osebnih podatkov, ki jih izvaja posamezni upravljavec oziroma obdelovalec. Pripraviti je torej treba opis vsake zbirke osebnih podatkov, ki jo vodite, zlasti ločeno glede na namen obdelave in rok hrambe osebnih podatkov. Evidenca dejavnosti obdelave se vodi v pisni, vključno v elektronski obliki, vsebuje pa elemente iz prvega odstavka 30. člena Splošne uredbe o varstvu podatkov:

  • naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  • namene obdelave;
  • opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  • kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  • kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  • kadar je mogoče. predvidene roke za izbris različnih vrst podatkov;
  • kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

 

V sklopu evidence dejavnosti obdelave za posamezne zbirke osebnih podatkov se načeloma torej vodi tudi opis posamezne zbirke osebnih podatkov oziroma splošni opis posameznih tehničnih in organizacijskih varnostnih ukrepov, v skladu s še veljavnim 25. členom ZVOP-1 pa upravljavci osebnih podatkov v svojih aktih predpišejo tudi postopke in ukrepe za zavarovanje osebnih podatkov. V okviru navedenih kategorij se opišejo tudi posamezna orodja, ki se uporabljajo za obdelavo osebnih podatkov v okviru določene evidence.

Obveznosti upravljavcev in obdelovalcev v zvezi z vodenjem evidenc dejavnosti obdelav, ki izhajajo iz Splošne uredbe o varstvu podatkov, je IP podrobno opisal na svoji spletni strani:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

Na zgornji povezavi lahko med drugim najdete tudi vzorec evidence dejavnosti obdelave, ki vam je lahko v pomoč pri vodenju vaše evidence dejavnosti obdelave.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka