Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 29.05.2020
Naslov: Lista obiskovalcev
Številka: 07120-1/2020/382
Vsebina: Evidence dejavnosti obdelave , Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Sprašujete glede vodenja evidenc dejavnost obdelave. Zaradi stanja v državi morate voditi listo obiskovalcev, na katerega vpišete ime in priimek obiskovalca. Zanima vas, kako dolgo morate hraniti takšno listo (ali jo lahko uničite, ko končate z vodenjem obiskov na ta način) ter ali potrebujete privolitev obiskovalca, ki se sedaj po telefonu naroči za obisk.

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

Uvodoma pojasnjujemo, da se ne glede na veljavnost Splošne uredbe, še vedno uporablja določba 82. člena ZVOP-1 (evidenca vstopov in izstopov iz prostorov). Skladno s prvim odstavkom 82. člena ZVOP-1 lahko oseba javnega ali zasebnega sektorja za namene varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v osebni dokument posameznika. Nadalje drugi odstavek določa, da se lahko v evidenci vstopov in izstopov o posamezniku vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov. Glede hrambe podatkov četrti odstavek določa, da se osebni podatki iz evidence iz tega člena lahko hranijo največ tri leta od vpisa, nato se zbrišejo ali na drug način uničijo, če zakon ne določa drugače.

 

Navedeno evidenco je treba skladno s 30. členom Splošne uredbe voditi tudi v okviru evidence dejavnosti obdelave in mora vsebovati naslednje informacije:

 

(a) naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;

(b) namene obdelave;

(c) opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(d) kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(e) kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka prvega odstavka 49. člena pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(f) kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

(g) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz prvega odstavka 32. člena.

 

Posebnega soglasja s strani obiskovalca za vodenje te evidence ne potrebujete, v kolikor jo vodite na podlagi 82. člena ZVOP-1 in skladu z nameni, za katero je predvidena. V nasprotnem potrebujete za takšno evidenco pravno podlago, ki so določene v prvem odstavku 6. člena Splošne uredbe za javni sektor (privolitev, kadar ne gre za izvajanje javnih nalog - točka (a), sklenitev ali izvajanje pogodbe - točka (b), zakon - točka (c) ali izvajanje javne naloge - točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1).

 

Glede samega roka hrambe vam predlagamo, da ga določite skladno z načelom »omejitve hrambe«, ki je določeno v točki (e) prvega odstavka 5. člena Splošne uredbe, ki določa, da se podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Pri tem upoštevajte tudi zgornjo omejitev, ki jo določa četrti odstavek 82. člena ZVOP-1 (največ tri leta od vpisa podatkov v evidenco) oz. morebitno drugo področno zakonodajo, ki bi vam nalagala drugačen rok hrambe osebnih podatkov.

 

V upanju, da so vam bila naša napotila v pomoč, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Barbara Pirš, univ.dipl.prav.,

Svetovalka Pooblaščenca za preventivo