Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Evidenca dejavnosti obdelave

+ -

Na kratko

  • Uredba vsebuje izrecne določbe glede evidentiranja dejavnosti obdelav osebnih podatkov.
  • Dejavnosti obdelav so vse obdelave osebnih podatkov, ki jih izvajate v organizaciji, kot npr. posredovanje podatkov za določen namen, hramba, izbris, itd.
  • Evidence dejavnosti je treba voditi v pisni obliki tako, da jih je mogoče na zahtevo Informacijskega pooblaščenca predložiti v pregled.
  • Skrbno dokumentiranje procesov obdelav vam pomaga pri izkazovanju skladnosti z Uredbo in izboljšuje vaše obvladovanje področja varstva osebnih podatkov.
  • Upravljavci in obdelovalci imajo vsak svoje dokumentacijske obveznosti.
  • Majhna in srednje velika podjetja (do 250 zaposlenih) imajo obveznosti dokumentiranja procesov le za določene vrste dejavnosti obdelav, zlasti kjer gre za bolj tvegane obdelave (npr. zdravstvenih podatkov ali podatkov iz kazenskih evidenc).
  • Večina organizacij bo evidence pričakovano vodila v elektronski obliki.
  • Evidence je treba sprotno ažuruirati, da izkazujejo trenutno stanje vaših dejavnosti obdelav.
  • RELEVANTNE DOLOČBE UREDBE
    člen: 30
    uvodna določba: 82
  • Vzorec evidence dejavnosti obdelave za UPRAVLJAVCE lahko prenesete tukaj.
  • Vzorec evidence dejavnosti obdelave za OBDELOVALCE lahko prenesete tukaj.

Kaj je novo po Uredbi?

  • Evidentiranje dejavnosti obdelav osebnih podatkov je nova zahteva po Uredbi. Evidentiranje se v določeni meri pokriva z obveznostjo vodenja kataloga zbirk osebnih podatkov za upravljavce z več kot 50 zaposlenimi, ki jo je urejal ZVOP-1.
  • Sporočanje podatkov v register zbirk pri IP po pričetku uporabe Uredbe ne bo več potrebno.
  • Vodenje katalogov in sporočanje v register je veljalo le za upravljavce zbirk osebnih podatkov, Uredba pa nalaga obveznosti tudi za obdelovalce in za vse vrste obdelav osebnih podatkov.

25. 5. 2018 morate imeti zagotovljen ustrezen sistem za vodenje evidence dejavnosti obdelav.

Kaj so evidence dejavnosti obdelav osebnih podatkov?

  • Večje organizacije morate voditi evidenco glede vseh vrst obdelav osebnih podatkov,  kot so: posredovanje podatkov za določen namen, hramba, izbris, itd.
  • Evidentiranje dejavnosti obdelav osebnih podatkov je pomembno ne le zato, ker gre za zakonsko obveznost, temveč zlasti, ker zagotavlja dobro upravljanje in vam pomaga izkazovati skladnost z drugimi vidiki Uredbe.

Kdo mora evidentirati dejavnosti obdelav?

Upravljavci in obdelovalci imajo vsak svoje obveznosti glede dokumentiranja.

  • Če zaposlujete več kot 250 oseb, morate evidentirati VSE svoje dejavnosti obdelav osebnih podatkov.
  • Organizacije, ki zaposlujete manj kot 250 ljudi imate omejene obveznosti glede evidentiranja. V tem primeru morate evidentirati le tiste dejavnosti obdelav, ki:

    • niso občasne; ali
    • predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali
    • vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Evropska Delovna skupina po členu 29 pripravlja izjeme od zahtev po dokumentiranju dejavnosti obdelav za majhna in srednje velika podjetja (do 250 zaposlenih). O izsledkih razprav in zaključkov bomo poročali na naši spletni strani, zato predlagamo, da spremljate rubriko »AKTUALNO«.

Kaj je treba dokumentirati po 30. členu Uredbe?

Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

  1. naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  2. namene obdelave;
  3. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  4. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  5. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) Uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  6. kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
  7. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1) Uredbe.

Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

  1. naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;
  2. vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
  3. kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) Uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  4. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1) Uredbe.

Je treba dokumentirati še kaj drugega?

Za izkazovanje skladnosti z Uredbo je koristno in priporočljivo, da pregledno vodite tudi npr.:

  • pravne podlage pri vsaki evidentirani dejavnosti;
  • zbirko pridobljenih privolitev, ki jo sproti posodabljate;
  • seznam pogodbenih obdelovalcev in obdelav;
  • zbirko poročil o izvedenih ocenah učinkov na varstvo osebnih podatkov;
  • seznam obvestil o kršitvah (priporočljivo je voditi dokumentacijo tudi o tistih zaznanih kršitvah, ki niso bile sporočene nadzornemu organu ali posameznikom);
  • evidenco uveljavljanja pravic posameznikov (pri tem priporočljivo, da imate vzpostavljene in z internim aktom urejen mehanizem za zagotavljanje pravic posameznikom – seznanitev, sprememba, izbris, omejevanje, pozaba, prenosljivost).
  • interni pravilnik o (za)varovanju osebnih podatkov;
  • drugo dokumentacija v zvezi z varstvom osebnih podatkov (pridobljeni certifikati, pripoznani kodeksi, itd.);

Kako izvajati dokumentiranje?

  • Notranje revizije in drugi postopki za zagotovitev skladnosti poslovanja lahko pomagajo ugotoviti, katere osebne podatke vaša organizacija obdeluje in kje se nahajajo.
  • Prek vprašalnikov pripravljenih za različne dele vaše organizacije, pregledovanjem ključnih področij poslovanja (kjer se obdelujejo osebni podatki) in pregledom politik, postopkov, pogodb in dogovorov, lahko ugotovite zakaj obdelujete osebne podatke, komu se podatki delijo in kako dolgo se hranijo.
  • Beleženje ugotovitev naj bo v pisni obliki in ustrezno strukturirano, da omogoča lažje pregledovanje.

Ugotovitve je treba uporabiti na način, da se komplet dokumentacije, ki opredeljuje področje varstva osebnih podatkov stalno osvežuje in prilagaja dejanski praksi ter potrebam.