...
Komentiraj / Varstvo osebnih podatkov / By

Vodenje dnevnika obdelave: Začetek uporabe januarja 2025

Vodenje dnevnika obdelave osebnih podatkov ureja Zakon o varstvu osebnih podatkov (ZVOP-2) kot dodaten ukrep v zvezi z varnostjo osebnih podatkov.

V zvezi z ukrepi, ki jih prinaša novi ZVOP-2, smo na našem portalu pisali v več prispevkih, ki si jih lahko preberete tukaj.

Podrobneje pa nismo pojasnjevali dodatnih ukrepov v zvezi z varnostjo osebnih podatkov, ki jih uvaja ZVOP-2. Vodenje dnevnika obdelave Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (GDPR), ne ureja in jo v naš pravni red uvaja ZVOP-2.

ZVOP-2 je v prehodnih in končnih določbah v 120. členu določil, da se vodenje dnevnikov obdelav uskladi z 22. členom ZVOP-2 v dveh letih od uveljavitve zakona. Kar pomeni, da morajo upravljavci vodenje dnevnika obdelave izvajati od januarja 2025 dalje, zato smo se odločili, da vodenje dnevnika obdelave podrobneje pojasnimo na naši spletni strani.

Več prispevkov na temo delovnega prava, javnega naročanja in prava varstva osebnih podatkov si lahko preberete tukaj.

Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov in storitve pooblaščene osebe za varstvo podatkov DPO

Vodenje dnevnika obdelav: Kdaj?

ZVOP-2 vodenje dnevnika obdelave ureja v 3. poglavju »Varnost osebnih podatkov in ocena učinka«. 22. člen ZVOP-2 določa, da za učinkovitejše izvajanje varnosti osebnih podatkov in ocene učinka v z vezi z varstvom podatkov in predhodno posvetovanja, ki jih določa IV. poglavja GDPR zakon, nalaga upravljavcu in obdelovalcu, da vodi dnevnik obdelave:

  • kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali
  • kadar gre za redno in sistematično spremljanje posameznikov, ali
  • kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali
  • če tako določa zakon.

 Na portalu vam nudimo pregled skladnosti poslovanja s področja varstva osebnih podatkov, pripravimo in posodobimo vam tudi manjkajočo ali zastarelo dokumentacijo

Vodenje dnevnika obdelave izvajata upravljavec in obdelovalec osebnih podatkov, kadar:

  • se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali
  • gre za redno in sistematično spremljanje posameznikov, ali
  • je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali
  • tako določa zakon.

 O obsežni obdelavi posebnih vrst osebnih podatkov govorimo takrat, ko se obdeluje posebne vrste osebne podatke več kot 10.000 posameznikov.

 Delovna skupina iz 29. člena GDPR je redno in sistematično obdelavo osebnih podatkov pojasnila v Smernicah EDPB o pooblaščenih osebah za varstvo podatkov.

 Po razlagi delovne skupine iz 29. člena GDPR izraz „redno“ pomeni eno ali več od naslednjega:

  • obdelava, ki poteka ali nastopa v določenih intervalih in določenem obdobju;
  • obdelava, ki se izvaja večkrat ali se ponavlja ob določenem času;
  • obdelava, ki se izvaja stalno ali periodično.

 Po razlagi delovne skupine iz 29. člena GDPR izraz „sistematično“ pomeni eno ali več od naslednjega:

  • obdelava, ki se izvaja v skladu s sistemom;
  • obdelava, ki je vnaprej določena, organizirana ali metodična;
  • obdelava, ki poteka kot del splošnega načrta zbiranja podatkov;
  • obdelava, ki se izvaja kot del strategije.

 Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov in storitve pooblaščene osebe za varstvo podatkov DPO

Primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki in za katere je treba izvajati vodenje dnevnika obdelav, so:

  • upravljanje telekomunikacijskega omrežja,
  • zagotavljanje telekomunikacijskih storitev,
  • ponovno ciljanje prek e-pošte,
  • dejavnosti trženja, ki temeljijo na podatkih,
  • oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja),
  • sledenje geografskemu položaju, na primer z mobilnimi napravami,
  • programi zvestobe,
  • oglaševanje na podlagi vedenjskih vzorcev,
  • spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav,
  • sistem televizije zaprtega kroga,
  • povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd.

ZVOP-2 v dvanajstem odstavku 76. člena določa, da upravljavec videonadzornega sistema za vsak vpogled ali uporabo posnetkov zagotovi možnost naknadnega ugotavljanja:

  • kateri posnetki so bili obdelani,
  • kdaj in kako so bili uporabljeni ali
  • komu so bili posredovani,
  • kdo je izvedel ta dejanja obdelave,
  • kdaj in s kakšnim namenom ali na kateri pravni podlagi.

Te podatke hrani v dnevniku obdelave iz 22. člena ZVOP-2 dve leti po koncu leta, ko so nastali.

ZVOP-2 v 41. členu določa tudi, da upravljavec za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve:

  • kateri osebni podatki so bili posredovani,
  • komu so bili posredovani,
  • kdaj in na kateri pravni podlagi,
  • za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka.

Upravljavcu ni treba zagotavljati teh podatkov, če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu ZVOP-2.

ZVOP-2 izrecno določa vodenje dnevnika obdelav pri uporabi videonadzora in pri posredovanju osebnih podatkov drugim osebam.

 Na portalu vam nudimo pregled skladnosti poslovanja s področja varstva osebnih podatkov, pripravimo in posodobimo vam tudi manjkajočo ali zastarelo dokumentacijo

Vodenje dnevnika obdelav: Za kakšen namen?

ZVOP-2 v 22. členu nadalje določa, da se vodenje dnevnika obdelave izvaja o naslednjih dejanjih obdelave osebnih podatkov:

  • zbiranje;
  • spreminjanje;
  • vpogled;
  • razkritje, vključno s prenosi;
  • izbris;
  • druga dejanja obdelave, ki jih določa zakon.

 Informacijski pooblaščenec je v svojih mnenjih pojasnil, da določba 22. člena ZVOP-2 dejansko predstavlja beleženje dostopov do osebnih podatkov oziroma sledljivost obdelave osebnih podatkov.

 Beležijo se dostopi posameznikov do osebnih podatkov pri zbiranju, spreminjajo, vpogledu, razkritju, vključno s prenosom, izbrisu in drugih dejanjih obdelave, ki jih določa zakon. Gre v bistvu za sledljivost dostopov do osebnih podatkov, s čimer se preprečijo nepooblaščeni vpogledi, morebitni nepooblaščeni izbrisi ali spreminjanje osebnih podatkov, s čimer se zagotavlja višja stopnja varnosti osebnih podatkov.

 Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov in storitve pooblaščene osebe za varstvo podatkov DPO

ZVOP-2 v tretjem odstavku 22. člena določa, da se dnevnik obdelave uporablja le za:

  • izkazovanje zakonitosti obdelave ter
  • izvajanje notranjega nadzora,
  • izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov,
  • zagotavljanje celovitosti in varnosti osebnih podatkov ter
  • odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.

Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave.

 ZVOP-2 je predvidel točno določene namene, za katere se lahko dnevniki obdelav uporabijo in čemu so namenjeni, uporaba dnevnikov obdelav v druge namene je nezakonita.

 Na portalu vam nudimo pregled skladnosti poslovanja s področja varstva osebnih podatkov, pripravimo in posodobimo vam tudi manjkajočo ali zastarelo dokumentacijo

Vodenje dnevnika obdelav: Kaj se vodi in koliko časa se hrani dnevnik obdelav?

ZVOP-2 v drugem odstavku 22. člena določa, da mora dnevnik obdelave vsebovati:

  • vrsto dejanja obdelave,
  • datum in čas obdelave,
  • identifikacijo osebe, ki je izvedla dejanje obdelave, ter
  • identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.

Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka.

Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

Dnevnik obdelave vsebuje vse potrebne informacije, s katerimi je mogoče, ugotovi, kdo, kdaj, zakaj in katere osebne podatke je obdeloval posameznik pri upravljavcu in obdelovalcu. Dnevnik obdelave se hrani največ dve leti od konca leta, v katerem so bila zabeležena dejanja v dnevniku obdelav.

 Če dnevnik obdelav zabeleži dejanje v mesecu juniju 2025 (vpogled v osebne podatke posameznika v kadrovski evidenci), se ta dnevnik obdelave hrani do konca leta 2027.

 Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov in storitve pooblaščene osebe za varstvo podatkov DPO

Upravljavci in obdelovalci morajo voditi dnevnike obdelav od januarja 2025 dalje. ZVOP-2 je v 120. členu določil dvoletno prehodno obdobje za tehnične ureditve zahtev, ki jih zakon nalaga upravljavcem in obdelovalcem v 22. členu ZVOP-2.

Če potrebujete pomoč pri urejanju področja varstva osebnih podatkov ali storitev DPO, nas kontaktirajte.

Komentiraj

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Scroll to Top