Razmerje med evidenco dejavnosti obdelave in dnevnikom obdelave osebnih podatkov
+ -Številka: 07121-1/2023/318
Kategorije: Evidence dejavnosti obdelave, Varnost osebnih podatkov, Zbirke osebnih podatkov
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede določenih izrazov podobnih, včasih prekrivajočih si institutov (med drugim zbirka osebnih podatkov, evidenca dejavnosti obdelav, dnevniki obdelav ipd.). Navajate, da razumete, kaj Splošna uredba in ZVOP-2 zahtevata za vsako izmed njih in kaj naj bi bila vsebina specifične zbirke / evidence / dnevnika, sprašujete pa, kakšno je njihovo medsebojno razmerje – ali evidenca lahko vsebuje dnevnik, ali gre za nujno ločena ukrepa, ali se z dnevnikom lahko nadomesti evidenca ipd.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Evidenca dejavnosti obdelave je širši dokument, ki zagotavlja celovit pregled nad dejavnostmi obdelave osebnih podatkov na strani tistega, ki obdeluje osebne podatke, medtem ko je dnevnik obdelave orodje, ki se uporablja v realnem času za spremljanje določenih dejavnosti obdelave.
Dnevnik obdelave ne more nadomestiti evidence dejavnosti obdelave, saj gre za dve različni obveznosti.
O b r a z l o ž i t e v:
Evidenca dejavnosti obdelave iz 30. člena Splošne uredbe je dokument, ki ga morajo voditi upravljavci in obdelovalci osebnih podatkov z namenom, da dokažejo svojo skladnost s predpisi na področju varstva osebnih podatkov. Evidence dejavnosti obdelave je treba voditi v pisni obliki tako, da jih je mogoče na zahtevo IP predložiti v pregled. Vsebina takšne evidence je za upravljavce predpisana v prvem odstavku, za obdelovalce pa v drugem odstavku 30. člena Splošne uredbe.
Skladno s prvim odstavkom 22. člena ZVOP-2 upravljavci vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov: zbiranje, spreminjanje, vpogled, razkritje, vključno s prenosi, izbris ter druga dejanja obdelave, ki jih določa zakon. Dnevnik obdelave vodi upravljavec ali obdelovalec osebnih podatkov za spremljanje in beleženje dejavnosti obdelave v realnem času, vključno z vsebinami o vrsti dejanja obdelave; datumu in času obdelave; identifikacijo osebe, ki je izvedla dejanje obdelave ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi tudi upravljavec ob upoštevanju ocene učinka (drugi odstavek 22. člena ZVOP-2). Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave (četrti odstavek 22. člena ZVOP-2).
Namen vodenja dnevnikov obdelave je predvsem v tem, da se zagotavlja notranjo sledljivost obdelav osebnih podatkov, ki omogočajo kasnejšo analizo v primeru ugotavljanja zakonitosti obdelave, zagotavljanje celovitosti in varnosti podatkov ter za odpravljanje napak v delovanju informacijskega sistema.
Evidenca dejavnosti obdelave je torej širši dokument, ki zagotavlja celovit pregled nad dejavnostmi obdelave osebnih podatkov na strani tistega, ki obdeluje osebne podatke (kdo, kaj, zakaj, kako itd.), medtem ko je dnevnik obdelave orodje, ki se uporablja v realnem času za spremljanje določenih dejavnosti obdelave. Glede na to IP meni, da se z dnevnikom obdelave ne more nadomestiti evidenca obdelave, saj gre za dve različni obveznosti. Način vodenja evidence dejavnosti obdelave ter dnevnika obdelave sicer ni zakonsko predpisan, vendar IP priporoča, da se zaradi drugačne vsebine, namena in preglednosti vodita ločeno.
Več o evidenci dejavnosti obdelave si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/evidenca-dejavnosti-obdelave, več o dnevniku obdelave pa na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.
Ob tem IP še dodaja, da je po določbi 126. člena ZVOP-2 z njegovo uveljavitvijo (26. 1. 2023) prenehal veljati ZVOP-1 in torej tudi določbe glede sprejema kataloga zbirk osebnih podatkov ter prijave zbirk v register IP; ta dolžnost je sicer prenehala za večino zavezancev že s sprejemom Splošne uredbe.
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka