Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Evidenca dejavnosti obdelave

+ -

Kakšne so zahteve Splošne uredbe?

Kaj so evidence dejavnosti obdelav osebnih podatkov?

Kdo mora evidentirati dejavnosti obdelav?

Kaj je treba dokumentirati po 30. členu Splošne uredbe?

Je treba dokumentirati še kaj drugega?

Kako izvajati dokumentiranje?

Ali ZVOP-2 prinaša kakšne spremembe na tem področju?

 

Na kratko

  • Splošna uredba vsebuje izrecne določbe glede evidentiranja dejavnosti obdelav osebnih podatkov.
  • Dejavnosti obdelav so vse obdelave osebnih podatkov, ki jih izvajate v organizaciji, kot npr. posredovanje podatkov za določen namen, hramba, izbris, itd.
  • Evidence dejavnosti je treba voditi v pisni obliki tako, da jih je mogoče na zahtevo Informacijskega pooblaščenca predložiti v pregled.
  • Skrbno dokumentiranje procesov obdelav vam pomaga pri izkazovanju skladnosti s SPlošno uredbo in izboljšuje vaše obvladovanje področja varstva osebnih podatkov.
  • Upravljavci in obdelovalci imajo vsak svoje dokumentacijske obveznosti.
  • Majhna in srednje velika podjetja (do 250 zaposlenih) imajo obveznosti dokumentiranja procesov le za določene vrste dejavnosti obdelav, zlasti kjer gre za bolj tvegane obdelave (npr. zdravstvenih podatkov ali podatkov iz kazenskih evidenc).
  • Večina organizacij bo evidence pričakovano vodila v elektronski obliki.
  • Evidence je treba sprotno ažurirati, da izkazujejo trenutno stanje vaših dejavnosti obdelav.
  • RELEVANTNE DOLOČBE SPLOŠNE UREDBE
  • Člen: 30
  • Uvodna določba: 82
  • RELEVANTNE DOLOČBE ZVOP-2
  • Členi: 45, 67, 119, 126
  • Vzorec evidence dejavnosti obdelave za UPRAVLJAVCE lahko prenesete tukaj.
  • Vzorec evidence dejavnosti obdelave za OBDELOVALCE lahko prenesete tukaj.

Kakšne so zahteve Splošne uredbe?

  • Evidentiranje dejavnosti obdelav osebnih podatkov je nova zahteva po Splošni uredbi. Evidentiranje se v določeni meri pokriva z obveznostjo vodenja kataloga zbirk osebnih podatkov za upravljavce z več kot 50 zaposlenimi, ki jo je urejal ZVOP-1, ki pa z uveljavitvijo ZVOP-2 ne velja več.
  • Sporočanje podatkov v register zbirk pri IP od pričetka uporabe Splošne uredbe (25. 5. 2018) ni bo več potrebno.
  • Vodenje katalogov in sporočanje v register je veljalo le za upravljavce zbirk osebnih podatkov, Splošna uredba pa nalaga obveznosti tudi za obdelovalce in za vse vrste obdelav osebnih podatkov.

Kaj so evidence dejavnosti obdelav osebnih podatkov?

  • Večje organizacije morate voditi evidenco glede vseh vrst obdelav osebnih podatkov, kot so: posredovanje podatkov za določen namen, hramba, izbris, itd.
  • Evidentiranje dejavnosti obdelav osebnih podatkov je pomembno ne le zato, ker gre za zakonsko obveznost, temveč zlasti, ker zagotavlja dobro upravljanje in vam pomaga izkazovati skladnost z drugimi vidiki Splošne uredbe. Celovito evidentiranje zbirk osebnih podatkov oziroma procesov obdelav je obenem prvi in ključni korak za vsako organizacijo, ki želi zakonsko skladno varovati osebne podatke. Če namreč ne vemo, kje vse jih imamo, o komu, kdo ima dostop do njih in kako se obdelujejo, kako jih potem sploh lahko ustrezno varujemo?

Kdo mora evidentirati dejavnosti obdelav?

Upravljavci in obdelovalci imajo vsak svoje obveznosti glede dokumentiranja.

  • Če zaposlujete več kot 250 oseb, morate evidentirati VSE svoje dejavnosti obdelav osebnih podatkov.
  • Organizacije, ki zaposlujete manj kot 250 ljudi imate omejene obveznosti glede evidentiranja. V tem primeru morate evidentirati le tiste dejavnosti obdelav, ki:
  • niso občasne; ali
  • predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali
  • vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Evropski odbor za varstvo podatkov (EDPB) je sprejel dokument »Working party 29 position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR«, ki obravnava izjeme od zahtev po dokumentiranju dejavnosti obdelav.

Kaj je treba dokumentirati po 30. členu Splošne uredbe?

Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

  1. naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  2. namene obdelave;
  3. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  4. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  5. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka 49(1) člena Splošne uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  6. kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
  7. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz 32(1) člena Splošne uredbe.

Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

  1. naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;
  2. vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
  3. kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka 49(1) člena Splošne uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  4. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz 32(1) člena Splošne uredbe.

Je treba dokumentirati še kaj drugega?

Za izkazovanje skladnosti s Splošno uredbo je koristno in priporočljivo, da pregledno vodite tudi npr.:

  • pravne podlage pri vsaki evidentirani dejavnosti;
  • zbirko pridobljenih privolitev, ki jo sproti posodabljate;
  • seznam pogodbenih obdelovalcev in obdelav;
  • zbirko poročil o izvedenih ocenah učinkov na varstvo osebnih podatkov;
  • seznam obvestil o kršitvah (priporočljivo je voditi dokumentacijo tudi o tistih zaznanih kršitvah, ki niso bile sporočene nadzornemu organu ali posameznikom);
  • evidenco uveljavljanja pravic posameznikov (pri tem priporočljivo, da imate vzpostavljene in z internim aktom urejen mehanizem za zagotavljanje pravic posameznikom – seznanitev, sprememba, izbris, omejevanje, pozaba, prenosljivost).
  • interni pravilnik o (za)varovanju osebnih podatkov;
  • drugo dokumentacija v zvezi z varstvom osebnih podatkov (pridobljeni certifikati, pripoznani kodeksi, itd.);

Kako izvajati dokumentiranje?

  • Notranje revizije in drugi postopki za zagotovitev skladnosti poslovanja lahko pomagajo ugotoviti, katere osebne podatke vaša organizacija obdeluje in kje se nahajajo.
  • Prek vprašalnikov pripravljenih za različne dele vaše organizacije, pregledovanjem ključnih področij poslovanja (kjer se obdelujejo osebni podatki) in pregledom politik, postopkov, pogodb in dogovorov, lahko ugotovite zakaj obdelujete osebne podatke, komu se podatki delijo in kako dolgo se hranijo.
  • Beleženje ugotovitev naj bo v pisni obliki in ustrezno strukturirano, da omogoča lažje pregledovanje.

Ugotovitve je treba uporabiti na način, da se komplet dokumentacije, ki opredeljuje področje varstva osebnih podatkov stalno osvežuje in prilagaja dejanski praksi ter potrebam.

Ali ZVOP-2 prinaša kakšne spremembe na tem področju?

Glede evidence dejavnosti ZVOP-2 določa rok, v katerem je vanjo treba vnesti podatke o imenovani pooblaščeni osebi za varstvo podatkov (DPO) in sicer 4. odstavek 45. člena ZVOP-2 določa, da upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske pošte pooblaščene osebe) sporoči nadzornemu organu, ki jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb. Seznam ni dostopen javnosti.

Pri prenosu osebnih podatkov v tretje države 67. člen ZVOP-2 glede odstopanja v posebnih primerih v 3. odstavku določa, da upravljavec ali obdelovalec dokumentira ustrezne zaščitne ukrepe v evidenci dejavnosti obdelave.

Vsebino registra zbirk osebnih podatkov Informacijski pooblaščenec po določbi 3. odstavka 119. člena ZVOP-2 arhivira in preda v roku enega leta Arhivu Republike Slovenije, ki vsebino Registra hrani kot trajno arhivsko gradivo.

Po določbi 126. člena ZVOP-2 Z uveljavitvijo ZVOP-2 (26.1.2023) preneha veljati ZVOP-1 in torej tudi določbe glede sprejema kataloga zbirk osebnih podatkov ter prijave zbirk v register Informacijskega pooblaščenca – ta dolžnost je sicer prenehala za večino zavezancev že s sprejemom Splošne uredbe. Zavezanci po ZVOP-2 torej nimajo več teh dolžnosti, morajo pa upoštevati dolžnosti glede evidentiranja dejavnosti obdelave po Splošni uredbi, kot je opisano zgoraj.