Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.01.2018
Naslov: Dolžnosti vodenja evidence dejavnosti obdelave podatkov po GDPR
Številka: 0712-3/2018/18
Vsebina: Register zbirk osebnih podatkov, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem prosite za pojasnilo glede izjem od obveznosti vodenja evidence dejavnosti obdelave po petem odstavku 30. člena GDPR. Sprašujete, v katerih primerih bi lahko obdelava podatkov predstavljala tveganja za pravice in svoboščine posameznikov ter kako se razlaga pogoj občasne obdelave in ali se ta pogoj gleda alternativno ali kumulativno s prvim.

 

Uvodoma je treba pojasniti, da se Splošna uredba o varstvu podatkov (EU) 2016/679 prične uporabljati 25. 5. 2018, s čimer stopijo v veljavo tudi pristojnosti IP glede izdajanja nezavezujočih mnenj na podlagi določb Uredbe, zato vam IP v tem trenutku še ne more podati uradnega mnenja glede razlage konkretnih določb Uredbe.

 

Vaše vprašanje se nanaša na obveznosti iz 30. člena Uredbe, ki v 5. odstavku določa, da se obveznosti glede vodenja evidence dejavnosti obdelave osebnih podatkov ne uporabljajo, če gre za družbe, ki zaposlujejo manj kot 250 oseb, »razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov…«. V zvezi s predmetno določbo je treba najprej izpostaviti, da se slovenski prevod Uredbe v tem delu nekoliko razlikuje od angleške različice, ki določa: »unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data…«. Iz slovenskega prevoda različice namreč izhaja dvom v to, ali gre pri naštetih pogojih za tri alternativne pogoje, ali pa gre le za dva pogoja, pri čemer morata biti pri prvem skupaj izpolnjena pogoja tveganosti in občasnosti. V skladu z duhom Uredbe in izhajajoč iz izvirnega angleškega teksta Uredbe je IP mnenja, da gre dejansko za tri alternativne pogoje, torej da so tudi majhne in srednje velike družbe (z manj kot 250 zaposlenimi) dolžne vzpostaviti evidenco dejavnosti obdelave v vsakem od naslednjih treh primerov:  

  1. če obdelava predstavlja tveganje za pravice in svoboščine posameznikov, na katere se podatki nanašajo, ali
  2. če obdelava ni zgolj ni občasna, ali
  3. če obdelava vključuje posebne vrste podatkov.

 

Dikcijo »obdelava, ki predstavlja tveganje za pravice in svoboščine posameznikov« je treba razumeti skladno s recitalom št. 75 k Uredbi ter skladno s smernicami, ki jih že pripravila delovna skupina, ki združuje vse evropske nadzorne organe za varstvo osebnih podatkov (Article 29 Working Party) (gl. Smernice o oceni učinka na varstvo podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp248_rev.01_sl.pdf). Interpretacija pogoja »občasna obdelava« pa trenutno še ni bila dorečena, se pa pričakuje, da bo omenjena delovna skupina v bližnji prihodnosti glede določbe petega odstavka 30. člena Uredbe izdala Position paper, ki naj bi izpostavil tudi razumevanje tega termina.

 

V zvezi s slovenskim prevodom Uredbe vas še seznanjamo, da se s strani EU pripravlja prenovljen prevod, ki naj bi bil dostopen že konec januarja. IP je potrebo po popravki zgoraj navedene netočnosti v prevodu 5. odstavka 30. člena Uredbe že sporočil pristojnim institucijam.

 

Lep pozdrav.

 

 

Pripravila:                                                                   

mag. Eva Kalan Logar,                                                             Mojca Prelesnik, univ.dipl.prav.,

državna nadzornica                                                                  informacijska pooblaščenka

za varstvo osebnih podatkov