Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Roki hrambe dnevnikov obdelave oz. revizijskih sledi obdelave osebnih podatkov v banki

+ -
Datum: 22.08.2023
Številka: 07120-1/2023/1072
Kategorije: Bančništvo, Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede zagotavljanja dnevnikov obdelave oz. revizijskih sledi obdelave osebnih podatkov v banki, zanima pa vas:

-        ali je omejitev hrambe dnevnikov (2 leti oz. ob upoštevanju ocene tveganj tudi do 5) absolutna, namreč z vidika določenih revizijskih sledi, ki jih potrebujete imeti za izvajanje ustreznega notranjega nadzora nad poslovanjem banke si težko predstavljate, da bi po 2/5 letih morali izbrisati podatke v dnevniku obdelav recimo v aplikacijah, ki so namenjene delu s komitenti, saj bi tako izgubili sledljivost in zmožnost izvedbe ustrezne kontrole in posledično analize stanja ter presoje ustreznih tveganj, kar je z vidika dejavnosti preprečevanja pranja denarja in financiranja terorizma ena glavnih dejavnosti, ki jih morate izvajati v smislu preprečevanj določenih tveganj;

-        banka ima za potrebe analize dostopov v posamezne aplikacije in obdelavo osebnih podatkov v teh vzpostavljeno aplikacijo, ki ustrezno vodi dnevnik obdelave za vse aplikacije, ki se uporabljajo na banki - ali bi lahko rekli, da se določilo ZVOP-2 o časovni hrambi dnevnika obdelave upošteva v tej aplikaciji, pri preostalih bolj jedrnih aplikacijah pa iz vidika ohranjanja revizijskih sledi podatki v dnevnikih obdelave ostanejo dalj časa (recimo do 10 let - vendar dostopi do teh podatkov niso ravno enostavni in so pod posebnimi pogoji omejeni zgolj na sistemske inženirje – primer kazenskih postopkov, odredba sodišča)? 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. 

Informacijski pooblaščenec (IP) je glede tega že izdal mnenje št. 07121-1/2023/874 z dne 28. 6. 2023, dostopno je na povezavi: https://www.ip-rs.si/mnenja-zvop-2/obdobje-hrambe-revizijske-sledi-1689663216.

V mnenju smo pojasnili, da glede določitve roka hrambe dnevnika obdelave ZVOP-2 predstavlja lex generalis, obenem pa izrecno predpisuje možnost odstopa od splošnega pravila v področni zakonodaji. Takšen primer predstavlja šesti odstavek 240. člena Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih, ki kot lex specialis na področju zagotavljanja plačilnih storitev določa daljši rok hrambe in sicer deset let po njihovem posredovanju.

S spoštovanjem,

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravil:                                                                                                                        

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke