Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Evidenca dejavnosti obdelave

+ -
Datum: 07.07.2022
Številka: 07120-1/2022/240
Kategorije: Evidence dejavnosti obdelave

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vašo zaprosilo za mnenje, ki se nanaša na evidence dejavnosti obdelave osebnih podatkov. Pojasnjujete nam, da ste v praksi večkrat zaznala, da upravljavci in obdelovalci ta institut razumejo kot obveznost popisa vseh osebnih podatkov posameznikov iz določene zbirke osebnih podatkov, namesto le kot popis vrst osebnih podatkov, ki se v neki zbirki vodijo. V zvezi s tem vas tako zanima, ali je v evidencah dejavnosti obdelave zadosti, da se popišejo vrste osebnih podatkov ali je slučajno potrebno v evidencah voditi tudi konkretne osebne podatke posameznikov?

***

                                                            

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

  1. Vsak upravljavec ali obdelovalec osebnih podatkov mora za dokaz skladnosti s Splošno uredbo o varstvu podatkov, hraniti evidence o dejavnostih obdelave, za katere je odgovoren.
  2. Poleg vseh ostalih elementov iz 30. člena Splošne uredbe o varstvu osebnih podatkov pa mora evidenca dejavnosti obdelave vsebovati tudi informacijo o vrstah osebnih podatkov (npr. kontaktni podatki, finančni podatki, lokacijski podatki, IP naslov, datum rojstva itd.), kjer pa pri evidenci dejavnosti obdelave ne gre za popis konkretnih osebnih podatkov, ki se obdelujejo.

 

O b r a z l o ž i t e v:

IP uvodoma vašega vprašanja pojasnjuje, da Splošna uredba o varstvu podatkov v 30. členu predpisuje vsebino evidence dejavnosti obdelave, ki se mora voditi v pisni obliki (vključno z elektronsko obliko) ter mora biti dostopna nadzornemu organu na zahtevo. Evidenca dejavnosti obdelave pa vsebuje  elemente iz prvega odstavka 30. člena Splošne uredbe o varstvu podatkov in sicer:

  • naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  • namene obdelave;
  • opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  • kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  • kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  • kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
  • kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

 

Obveznosti upravljavcev in obdelovalcev v zvezi z vodenjem evidenc dejavnosti obdelav, ki izhajajo iz Splošne uredbe o varstvu podatkov, je IP tudi podrobno opisal tudi na svoji spletni strani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

Na zgornji povezavi lahko med drugim najdete tudi vzorec evidence dejavnosti obdelave, ki vam je lahko v pomoč pri vodenju vaše evidence dejavnosti obdelave.

V zvezi z vašim vprašanjem pa IP sklepno poudarja, da mora za dokaz skladnosti s Splošno uredbo o varstvu podatkov, vsak upravljavec ali obdelovalec hraniti evidence o dejavnostih obdelave, za katere je odgovoren. Pri tem pa iz točke (c) prvega odstavka, 30. člena Splošne uredbe o varstvu podatkov izhaja obveza upravljavca, da evidenca obdelave vsebuje (med drugim) tudi informacijo o vrstah osebnih podatkov (npr. kontaktni podatki, finančni podatki, lokacijski podatki, IP naslov, datum rojstva itd.), kjer pa pri evidenci dejavnosti obdelave ne gre za popis konkretnih osebnih podatkov, ki se obdelujejo.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

  

Pripravil:                                                                                                                                  

Grega Rudolf,

asistent svetovalca pri IP          

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka