Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Vodenje evidenc dejavnosti obdelave

+ -
Datum: 05.09.2022
Številka: 07121-1/2022/950
Kategorije: Evidence dejavnosti obdelave

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da ste podjetje s 50 zaposlenimi in za poslovanje pridobivate podatke zaposlenih skladno z delovnopravno zakonodajo. Radi bi razčistili dilemo, ali ste glede na določbo petega odstavka 30. člena Splošne uredbe o varstvu podatkov dolžni voditi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti?

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Upravljavcu ni treba voditi evidence dejavnosti obdelave, če zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali obdelava vključuje posebne vrste podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

 

Če upravljavec redno obdeluje osebne podatke v zvezi z zaposlenimi, tovrstna obdelava ne more šteti za občasno obdelavo in bi morala biti vključena v evidenco dejavnosti obdelave. Upravljavec pa pri tem vodi evidenco dejavnosti obdelave zgolj glede obdelav, ki npr. ne predstavljajo občasne obdelave (npr. glede redne obdelave osebnih podatkov zaposlenih).

 

O b r a z l o ž i t e v:

 

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

Splošna uredba skladno s 30. členom upravljavcu nalaga vodenje t.i. evidence dejavnosti obdelave, ki jo mora upravljavec nadzornemu organu predložiti na njegovo zahtevo. Peti odstavek določa izjeme in sicer podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, evidence dejavnosti obdelave ni treba voditi, razen:

- če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali

- obdelava ni občasna ali

- obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

 

Tudi če zaposlujete manj kot 250 oseb, morate torej kot upravljavec voditi evidence dejavnosti obdelav, v kolikor je verjetno, da obdelava predstavlja tveganje za pravice in svoboščine posameznikov, ni občasna ali pa vključuje posebne vrste osebnih podatkov (»t.i. občutljivi osebni podatki) oziroma osebne podatke v zvezi s kazenskimi obsodbami in prekrški. Dokument Delovne skupine iz člena 29 »Working party 29 position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR« pojasnjuje termin »občasna obdelava« in sicer gre za obdelavo, ki se ne izvaja redno in pride do nje zunaj rednega poslovanja oz. aktivnosti upravljavca oz. obdelovalca. Kot primer navaja redno obdelavo osebnih podatkov v zvezi z zaposlenimi in izpostavlja, da tovrstna obdelava ne more šteti za občasno obdelavo in bi morala biti vključena v evidence dejavnosti obdelave. Kljub temu pa, kot poudarja, morajo upravljavci v tem primeru voditi zgolj evidence dejavnosti obdelave glede tistih obdelav, ki so navedene v zgoraj citiranem petem odstavku 30. člena Splošne uredbe. Drugih obdelav, ki npr. štejejo za občasne, tako ni treba vključiti v evidence dejavnosti obdelave, če seveda obdelava ne predstavlja tveganja za pravice in svoboščine posameznikov oz. ne vključuje posebne vrste osebnih podatkov oz. osebne podatke v zvezi s kazenskimi obsodbami oz. prekrški.

 

Več informacij o evidencah dejavnosti obdelave lahko najdete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/. V zvezi z opredelitvijo termina »tveganje za pravice in svoboščine posameznikov« vas napotujemo na 75. uvodno izjavo k Splošni uredbi. Pri tem so vam lahko v pomoč tudi Smernice glede ocene učinka v zvezi z varstvom podatkov in opredelitve, ali je „verjetno, da bi [obdelava] povzročila veliko tveganje“, za namene Uredbe (EU) 2016/679.  Pri tem opozarjamo, da mora obdelava po petem odstavku 30. člena Splošne uredbe predstavljati tveganje za pravice in svoboščine posameznikov, ne pa »veliko tveganje«, kot je to določeno pri oceni učinka po citiranih smernicah.

 

 

V upanju, da ste prejeli odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                                

Barbara Pirš, univ.dipl.prav.,

svetovalka pooblaščenca za preventivo