Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.01.2019
Naslov: Evidentiranje dejavnosti obdelav
Številka: 0712-3/2018/2731
Vsebina: Evidence dejavnosti obdelave , Razno
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje glede urejanja »Kataloga zbirk osebnih podatkov«. Zanima vas, ali je treba posebej evidentirati podatke iz sprejetega »sklepa, v katerem so navedeni vsi člani delovnega telesa npr. komisije – z imenom in priimkom, naslovom, roj. podatki, ipd.«, ki jih ne vodite v drugih evidencah in tak sklep vključiti v »Katalog zbirk«. Kot primer navajate sklep o imenovanju sodnikov porotnikov, za katere ne vodite posebne evidence, vendar tak sklep vstavite v poseben spis. Zanima vas tudi ali morate voditi evidenco tudi za »spise z isto tematiko, ki jih vodite v enem fasciklu (npr. postopke o dodelitvi enkratne socialne pomoči ob rojstvu otroka)«.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da se po Splošni uredbi termin »Katalog zbirk osebnih podatkov«, ki je po ZVOP-1 veljal za opis zbirke osebnih podatkov, ne uporablja več (uporablja se le še za tiste vrste obdelav in za zavezance, ki morajo tudi po 25. 5. 2018 še vedno sporočati podatke iz katalogov v register zbirk osebnih podatkov pri IP – obdelave, s strani pristojnih organov za namen preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem). Funkcijo dosedanjega »kataloga zbirk osebnih podatkov«, pa po Splošni uredbi nadomeščajo »evidence dejavnosti obdelav«, ki jih Splošna uredba ureja v členu 30.

 

Obveznosti v zvezi z vodenjem evidenc dejavnosti obdelav po Splošni uredbi je IP opisal na svoji spletni strani pod naslednjo povezavo: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

 

Glede teh obveznosti zgolj pojasnjujemo, da so se kriteriji, katere dejavnosti obdelav je treba evidentirati, po Splošni uredbi spremenili. Odslej velja, da morajo evidentirati VSE svoje dejavnosti obdelav osebnih podatkov tisti upravljavci in obdelovalci, ki zaposlujejo več kot 250 ljudi. Druge (manjše organizacije), pa le tiste dejavnosti obdelav, ki:

  • niso občasne; ali
  • predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali
  • vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

 

Zgornji kriteriji veljajo ne glede na to ali gre za javni ali zasebni sektor. Ob tem pripominjamo, da se z evidentiranjem dejavnosti obdelav osebnih podatkov omogoča pregled nad zbirkami osebnih podatkov, ki jih obdelujete. Na ta način izkazujete, da podatke obdelujete skladno s pravili Splošne uredbe.

 

V zvezi z vašim vprašanjem, ali je treba podatke iz sklepov o imenovanju delovnih teles/komisij/sodnikov porotnikov voditi kot posebno evidenco, pojasnjujemo, da sam sklep najverjetneje ne predstavlja samostojne nove zbirke osebnih podatkov, zelo verjetno pa so sklepi del zbirke izdanih sklepov ali morda del kadrovske mape ipd. Za takšno zbirko pa je treba odgovor na vprašanje, ali je za posamezno zbirko treba voditi evidenco obdelavo, iskati v okviru prej navedenih kriterijev iz petega odstavka člena 30 Splošne uredbe. Ker Občina Prevalje (verjetno, glede na javne podatke) zaposluje manj kot 250 ljudi, je treba ugotoviti:

  1. Ali je obdelava občasna (npr. ali gre za zbirko sklepov o imenovanju oz. za zbirko o imenovanju delovnih teles).
  2. Ali obdelava predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki (če je obdelava tvegana npr. zaradi narave, vrste, količine osebnih podatkov ali narave obdelave, ki bolj posega v zasebnost (npr. javna objava) ali posebnih okoliščin zbiranja (npr. videonadzorni posnetek), itd.).
  3. Ali se obdelujejo tudi posebne vrste podatki iz člena 9(1) ali osebni podatki v zvezi s kazenskimi obsodbami in prekrški iz člena 10 (ko gre za tovrstne podatke je vselej treba voditi evidenco – ne glede na tveganost obdelave).

 

Na zavezancu (upravljavcu ali obdelovalcu) je odgovornost, da presodi v okviru zgornjih kriterijev, katere dejavnosti obdelave je treba po Splošni uredbi ustrezno evidentirati. Ob tem pa ni pomembno, v kakšni obliki in kje podatke hranite (npr. fizično, v enem fasciklu, večih fasciklih/mapah/omarah ali elektronsko). IP pa v okviru mnenja ne more podati zavezujočega stališča glede vprašanja, ali je za posamezno dejavnost obdelave, ki jo izvajate, treba voditi evidenco dejavnosti obdelav – slednje lahko IP presoja le po proučitvi okoliščin primera v okviru inšpekcijskega postopka.  

 

Glede evidenc dejavnosti obdelave IP še poudarja, da so se kategorije (katere podatke je treba vpisati v evidenco za posamezno dejavnost obdelave) nekoliko spremenile glede na zahteve za po ZVOP-1 za »katalog zbirk«, zato velja proučiti morebitne spremembe tudi iz navedenega vidika.

 

Lep pozdrav.