Obvestilo o izvajanju videonadzora ter dnevniki obdelave OP

Pri Informacijskem pooblaščencu (IP) smo dne 1. 2. 2023 prejeli vaše zaprosilo za tolmačenje ZVOP-2 in sicer: (a) kaj je mišljeno kot »informacije o posebnih vplivih obdelave« kot sestavina obvestila o izvajanju videonadzora ter  (b) ali se mora, v dnevnike obdelave ročno vnašati namene in pravne podlage za obdelave videoposnetkov ter ali dnevnik obdelave nadomesti evidence?                                                                                                              

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

1. Niti iz zakona, niti iz obrazložitve predloga zakona, ni povsem jasno; kaj je zakonodajalec predvidel kot »poseben vpliv obdelave«.
2. Zakon nikjer ne predpisuje konkretnega načina vodenja dnevnika obdelave (fizično ali v e-obliki).
3. "Evidenca dejavnosti obdelave" je širši dokument, ki zagotavlja celovit pregled nad dejavnostmi obdelave osebnih podatkov na strani tistega, ki OP obdeluje (kdo, kaj, zakaj, kako itd. obdeluje OP), medtem ko je "dnevnik obdelave OP" orodje, ki se uporablja v realnem času za spremljanje določenih dejavnosti obdelave.

O b r a z l o ž i t e v:

IP v zvezi z vašim prvim vprašanjem pojasnjuje, da so sestavine obvestila o izvajanju videonadzora določene v 76. členu ZVOP-2, kjer kot eno izmed sestavine zakon v 3. točki določa informacije o posebnih vplivih obdelave, zlasti nadaljnje obdelave. Iz zakona ni jasno, niti ni jasno iz obrazložitve predloga zakona, kaj točno je zakonodajalec predvidel kot »poseben vpliv obdelave«. Glede na to, da IP prakse na tem področju še nima, vam v okviru tega neobveznega mnenja naše interpretacije termina ne moremo podati, saj bomo presojo te določbe, lahko izvedli šele v okviru konkretnega inšpekcijskega postopka. 

V zvezi z vašim drugim vprašanjem, v povezavi z dnevnikom obdelave OP pa pojasnjujemo, da    zakon nikjer ne predpisuje konkretnega načina vodenja dnevnika obdelave in tako ne zahteva avtomatičnega vodenja dnevnika v e-obliki.  V zvezi s presojo v kakšni obliki (elektronski ali fizični) voditi dnevnik obdelave je namreč potrebno upoštevati tveganja in naravo sistemov za zbiranje osebnih podatkov ter konkretnih obdelav, ki se izvajajo, v zvezi s čimer, bi lahko tudi  v določenih primerih izhajalo, da je edini primerni način vodenja dnevnika obdelave zgolj v elektronski obliki. Kot pa pojasnjeno pa vodenje dnevnikov obdelav v e-obliki ni avtomatično zahtevano za vse primere obdelav osebnih podatkov.                                                                                                      

Namen vodenja dnevnikov obdelave je predvsem o tem, da se zagotavlja  notranjo sledljivost obdelav osebnih podatkov, ki omogočajo kasnejšo analizo v primeru ugotavljanja zakonitosti obdelave, zagotavljanje celovitosti in varnosti podatkov ter za odpravljanje napak v delovanju informacijskega sistema (tako na primer tudi zakonodajalec pri obrazložitvi člena o vodenju dnevnikov obdelav).

Na splošno pri tem pojasnjujemo, da je »evidenca dejavnosti obdelave« iz 30. člena Splošne uredbe o varstvu podatkov obvezen dokument, ki ga morajo voditi upravljavci osebnih podatkov, z namenom da dokažejo svojo skladnost s predpisi na področju VOP. Evidenca dejavnosti obdelav tako vsebuje informacije o upravljavcu in pooblaščeni osebi za VOP; namenih obdelave OP; opisu kategorij posameznikov, na katere se OP nanašajo; vrstah OP; kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti OP; rokih; splošnem opisu tehničnih in organizacijskih varnostnih ukrepov in druge informacije, ki jih zahteva 1. odstavek 30. člena Splošne uredbe.

"Dnevnik obdelave OP" pa, kot zgoraj navedeno vodi upravljavec ali obdelovalec osebnih podatkov za spremljanje in beleženje dejavnosti obdelave v realnem času, vključno z vsebinami o vrsti dejanja obdelave; datumu in času obdelave; identifikacijo osebe, ki je izvedla dejanje obdelave ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi tudi upravljavec ob upoštevanju ocene učinka (drugi odstavek 22. člena ZVOP-2).

Z drugimi besedami bi splošno lahko povzeli, da je "evidenca dejavnosti obdelave" širši dokument, ki zagotavlja celovit pregled nad dejavnostmi obdelave osebnih podatkov na strani tistega, ki OP obdeluje (kdo, kaj, zakaj, kako itd. obdeluje OP), medtem ko je "dnevnik obdelave OP" orodje, ki se uporablja v realnem času za spremljanje določenih dejavnosti obdelave.

Lepo vas pozdravljamo,

Pripravil:                                                                                                                                  

Grega Rudolf,

asistent svetovalca pri IP          

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka