Evidence dejavnosti obdelave osebnih podatkov
Evidence dejavnosti obdelav v 30. členu ureja Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov – GDPR), Zakon o varstvu osebnih podatkov (ZVOP-2) pa se v posameznih členih sklicuje na GDPR v zvezi z evidenco dejavnosti obdelav.
Ker je zakonska obveznost, da upravljavci in obdelovalci vzpostavijo evidence dejavnosti obdelav osebnih podatkov pri svojem poslovanju, smo se odločili napisati prispevek na to temo, da upravljavcem in obdelovalcem olajšamo delo.
Več prispevkov na temo varstva osebnih podatkov, javnega naročanja, delovnega prva in še več si lahko preberete tukaj.
Na portalu za vas uredimo celotno skladnost poslovanja na področju varstva osebnih podatkov, za vas opravimo pravni pregled in pripravimo vse potrebne dokumentacije
Kaj je evidenca dejavnosti obdelav?
Evidenca dejavnosti obdelav osebnih podatkov je ključnega pomena za zavarovanje in varnost osebnih podatkov, s katerim upravljata upravljavec in obdelovalec. Celoviti pristop k evidentiranju zbirk osebnih podatkov pri upravljavcu in obdelovalcu je ključnega pomena za zavarovanje vseh procesov obdelave osebnih podatkov in vseh osebnih podatkov, s katerimi upravljata upravljavec in obdelovalec.
Informacijski pooblaščenec je namen evidence dejavnosti obdelave na kratko in enostavno povzel z dvema stavkoma. Informacijski pooblaščenec je v svojem mnenju št. 07120-1/2022/169 z dne 25. 5. 2022 pojasnil, da je evidenca dejavnosti obdelave primarno namenjena internemu pregledu in nadzoru nad postopki obdelav osebnih podatkov, ki jih izvajata upravljavec in obdelovalec. V evidenci dejavnosti obdelave je treba pripraviti opis vsake zbirke osebnih podatkov, ki jo upravljavec in obdelovalec vodi, zlasti ločeno glede na namen obdelave in rok hrambe osebnih podatkov.
GDPR v 30. členu določa, da mora evidenca dejavnosti obdelave osebnih podatkov vsakega upravljavca, vsebovati:
- naziv ali ime in kontaktne podatke upravljavca in kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
- namene obdelave;
- opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
- kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
- kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v nekaterih primerih tudi dokumentacijo o ustreznih zaščitnih ukrepih;
- kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
- kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov
Na portalu nudimo storitev DPO za vaš zavod, ali pravno osebo zasebnega prava
Nadalje je v drugem odstavku 30. člena GDPR določeno, da morajo obdelovalci, ki obdelujejo osebne podatke za upravljavca, voditi evidence dejavnosti obdelav, ki morajo vsebovati:
- naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca in pooblaščene osebe za varstvo podatkov;
- vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
- kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v nekaterih primerih pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
- kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov.
GDPR nadalje določa, da morajo biti evidence dejavnosti obdelave v pisni obliki, lahko v elektronski ali papirnati obliki in da jih morata upravljavec in obdelovalec, na zahtevo nadzornega organa, posredovati le temu.
GDPR določa, da se obveznosti voditi evidence dejavnosti obdelave ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.
Pravno svetovanje
GDPR v 9. členu, posebne vrste osebnih podatkov našteva kot:
- podatke, ki razkrivajo rasno ali etnično poreklo,
- podatke, ki razkrivajo politično mnenje, versko ali filozofsko prepričanje,
- podatke, ki razkrivajo članstvo v sindikatu,
- genetske podatke,
- biometrične podatke za namene edinstvene identifikacije posameznika,
- podatke v zvezi z zdravjem,
- podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
Kot izhaja iz navedenega, morajo vsi upravljavci in obdelovalci, ki imajo več kot 250 zaposlenih delavce voditi vse evidence dejavnosti obdelav.
Upravljavci in obdelovalci, ki zaposlujejo manj kot 250 delavcev, morajo voditi le tiste evidence dejavnosti obdelave, ki:
- niso občasne,
- predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo in
- vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.
Evropski odbor za varstvo podatkov (EDPB) je v zvezi z navedenim sprejel pojasnila, ki si jih lahko preberete tukaj.
Informacijski pooblaščenec, za namen ažurnega in celovitega vodenja evidenc obdelave dejavnosti, priporoča, da se v evidence dejavnosti obdelav vključi tudi:
- pravne podlage pri vsaki evidentirani dejavnosti;
- zbirko pridobljenih privolitev, ki jo sproti posodabljate;
- seznam pogodbenih obdelovalcev in obdelav;
- zbirko poročil o izvedenih ocenah učinkov na varstvo osebnih podatkov;
- seznam obvestil o kršitvah (priporočljivo je voditi dokumentacijo tudi o tistih zaznanih kršitvah, ki niso bile sporočene nadzornemu organu ali posameznikom);
- evidenco uveljavljanja pravic posameznikov (pri tem priporočljivo, da imate vzpostavljene in z internim aktom urejen mehanizem za zagotavljanje pravic posameznikom – seznanitev, sprememba, izbris, omejevanje, pozaba, prenosljivost).
- interni pravilnik o (za)varovanju osebnih podatkov;
- drugo dokumentacija v zvezi z varstvom osebnih podatkov (pridobljeni certifikati, pripoznani kodeksi, itd.).
Na portalu nudimo storitev DPO za vaš zavod, ali pravno osebo zasebnega prava
Z uveljavitvijo ZVOP-2 je prenehal veljati ZVOP-1 in z njim tudi katalogi zbirk osebnih podatkov ter prijave zbirk v register Informacijskega pooblaščenca, ki jih je moral vsak upravljavec voditi pred uveljavitvijo GDPR in ZVOP-2.
ZVOP-2 v 4. odstavku 45. člena določa, da upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpišeta njene kontaktne podatke v skladu s 30. členom GDPR v svojo evidenco dejavnosti obdelav. Iz navedenega izhaja, da je ZVOP-2 postavil rok za vpis DPO-ja v evidenco dejavnosti obdelav.
Kakšne so zagrožene globe?
ZVOP-2 daje pravno podlago za uporabo administrativnih glob, ki jih predpisuje GDPR. ZVOP -2 v 95. členu določa, da se sankcije za kršitve, ki jih predpisuje GDPR izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih, kot jih določa Splošna uredba.
ZVOP-2 nadalje določa, da se s tem zakonom predpisujejo tudi sankcije za kršitve GDPR, ki so jih storile odgovorne osebe ali posamezniki.
GDPR v četrtem odstavku 83. člena določa, da se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:
- obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43.
Zagrožena globa za upravljavca in obdelovalca skladno z GPDR, za neupoštevanje 30. člena, ki določa način in vsebino vodenja evidenc dejavnosti obdelave osebnih podatkov, je 10.000.000 EUR ali 2 % svetovnega letnega prometa.
ZVOP-2 v 96. členu določa globe za odgovorne osebe pravnih oseb, samostojnih podjetnikov posameznikov ali posameznikov, ki samostojno opravljajo dejavnost.
Z globo od 100 do 5.000 EUR se kaznuje za prekršek odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost:
- če krši obveznosti upravljavca ali obdelovalca, kot so določene v 8., 11., 25. do 39. členu ter v 42. in 43. členu Splošne uredbe.
Z globo od 100 do 5.000 EUR se kaznuje za zgoraj navedene prekrške odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
Za razliko od GDPR ZVOP-2 ureja tudi globe za odgovorno osebo pravne osebe. V primeru kršitve 30. člena GDPR je za odgovorno osebo zagrožena globa v znesku od 100 do 5.000 EUR.