Kako popisati evidence dejavnosti obdelav? Varstvo osebnih podatkov

Da bi v podjetju zagotovili ustrezno varstvo osebnih podatkov, je potrebno najprej preveriti in popisati, katere osebne podatke sploh zbirate in uporabljate. Podatkov namreč ne morete ustrezno varovati, če se sploh ne zavedate obsega podatkov, ki jih obdelujete. Zato je prvi korak do skladnosti z zakonskimi zahtevami popis osebnih podatkov, s katerimi vaše podjetje razpolaga.

Pogosto manjša podjetja (predvsem tista, ki poslujejo izključno z drugimi podjetji in ne fizičnimi osebami) menijo, da ne obdelujejo osebnih podatkov, kar pa se hitro izkaže kot zmotno. Osebni podatek je katerikoli podatek, ki se nanaša na osebo, ne glede na obliko v kateri je izražen in na podlagi katerega je osebo mogoče določiti oz. identificirati brez nesorazmernega napora ali stroškov. Osebni podatek je lahko tudi fotografija, glas, podatek o prilivih in pa različni spletni identifikatorji, npr. številka naslova IP, ID piškotka, mobilna telefonska številka. Oblika in vir podatka pri tem nista pomembni – nekatere osebne podatke si izberemo sami (npr. nadimek), druge nam dodeli država (npr. EMŠO), nekatere pa delodajalec (npr. službeni e-naslov). Torej hitro ugotovimo, da praktično ni podjetja, ki ne obdeluje osebnih podatkov. Skladno s Splošno uredbo o varstvu podatkov (ang. GDPR; v nadaljevanju Splošna uredba) pa jih je treba identificirati, popisati in pripraviti načrt, kako jih ustrezno varovati.

Splošna uredba vsebuje namreč izrecne določbe glede evidentiranja dejavnosti obdelav osebnih podatkov.

Evidentiranje se v določeni meri pokriva z obveznostjo vodenja kataloga zbirk osebnih podatkov za upravljavce z več kot 50 zaposlenimi, ki jo je urejal Zakon o varstvu osebnih podatkov ZVOP-1, vendar po pričetku veljave Splošne uredbe, torej po 25. maju 2018, sporočanje podatkov v register zbirk pri Informacijskemu pooblaščencu na splošno ni več potrebno (izjema velja le še za pristojne organe na področju preprečevanje, preiskovanje, odkrivanje ali pregona kaznivih ravnanj). Je pa sedaj treba voditi evidence dejavnosti obdelav osebnih podatkov, pri čemer gre za obveznost tako upravljavcev kot obdelovalcev, kar je novost, saj pogodbeni obdelovalci prej niso imeli te obveznosti.

Kdo mora evidentirati dejavnosti obdelav?

Če zaposlujete več kot 250 oseb, morate evidentirati VSE svoje dejavnosti obdelav osebnih podatkov.

Organizacije, ki zaposlujete manj kot 250 ljudi, imate omejene obveznosti glede evidentiranja. V tem primeru morate evidentirati le tiste dejavnosti obdelav, ki:

  • niso občasne (pomislite, kdaj je obdelava osebnih podatkov redna in periodična, v to skupino gotovo sodijo obdelave za potrebo kadrovskih evidenc, redno mesečno obveščanje prek elektronskih novičk itd.); ali
  • predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali
  • vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Evidentiranje dejavnosti obdelav osebnih podatkov je pomembno ne le zato, ker gre za zakonsko obveznost, temveč zlasti, ker zagotavlja dobro upravljanje in vam pomaga izkazovati skladnost s Splošno uredbo. Zato pripravite popis vseh osebnih podatkov, ki jih obdelujete v podjetju, neodvisno, ali vaše podjetje zaposluje manj kot 250 zaposlenih in bi imeli omejene obveznosti glede evidentiranja, saj gre za postopek, ki vam močno pomaga pri zagotavljanju odgovornega ravnanja z osebnimi podatki. Hkrati je evidence tako mogoče na zahtevo Informacijskega pooblaščenca predložiti v pregled.

Akcijski načrt – pregled, popis, vzdrževanje

V prvem koraku popišite vse osebne podatke, ki jih v podjetju obdelujete in tudi navedite, kje se ti nahajajo, pri čemerv popis vključite tiste zaposlene, ki podrobno poznajo poslovne procese znotraj podjetja. Če podatkov ne bi popisali, jih tudi varovati ne bi mogli.

Kje se nahajajo osebni podatki?

Praviloma v tabelah, informacijskih rešitvah, evidencah, razvidih, katalogih, šifrantih – z eno besedo v zbirkah osebnih podatkov. Obvladovanje področja varstva osebnih podatkov zahteva popis, katere podatke v podjetju obdelujete in kje se ti nahajajo. Popišite, kje vse imate zbirke osebnih podatkov, pri čemer najprej pomislite na:

  • vaše zaposlene – preverite kadrovske mape zaposlenih, evidence o stroških dela, izrabi delovnega časa, preverite tudi druge zbirke o zaposlenih, npr. evidence dodeljene opreme, podatki u uporabi interneta, službenih vozil, mogoče imate predstavitvene fotografije in elektronske naslove zaposlenih objavljene na spletni strani podjetja,
  • vaše stranke in kupce – preverite, katere vse podatke vodite o vaših strankah (kupci, komitenti, zavarovanci, člani klubov zvestobe itd.). To so lahko tudi elektronski naslovi za pošiljanje novic, podatki za registracijo v spletni trgovini, podatki o transakcijah, naslovi za dostavo blaga, naslovi IP obiskovalcev vaše spletne strani ali spletne trgovine, sodelujoči v nagradnih igrah itd.,
  • poslovne partnerje – osebni podatki se nahajajo na pogodbah z najrazličnejšimi podizvajalci in partnerji, vabilih na poslovne dogodke in fotografijah z dogodkov itd. 
  • preverite še druge zbirke, ki morebiti nastajajo vašem okolju (npr. posnetki videonadzorne kamere, evidenca vstopajočih v stavbo).

Pripravite evidence dejavnosti obdelav

Ko določite, kje se podatki nahajajo, za kakšen namen jih obdelujete in na kateri pravni podlagi, je treba ugotovitve ustrezno zabeležitipripraviti evidence obdelav. Novo načelo odgovornosti zahteva, da ste na zahtevo sposobni izkazati, da poslujete skladno s pravili varstva osebnih podatkov. Skladno poslovanje boste lahko izkazali, če boste imeli pregled nad vsemi obdelavami osebnih podatkov, ki se izvajajo pod vašim nadzorom.

V evidence dejavnosti obdelav vpišete pomembne okoliščine v zvezi z obdelavo osebnih podatkov, kot so namen obdelave, pravno podlago, kategorije posameznikov, kategorije uporabnikov, informacije o morebitnih prenosih itd. Vsebina evidenc je predpisana in jo določa člen 30 Splošne uredbe. Vsebina evidenc se razlikuje, če podatke obdelujete kot upravljavec oziroma če podatke obdelujete kot obdelovalec.

Če ste že do sedaj imeli pripravljene kataloge zbirk podatkov, potem preverite, ali imate v njih vse predpisane elemente in ali so vnosi ažurni. Če katalogov do sedaj niste imeli (ker ste obdelovalec ali pa je za vas do sedaj veljala izjema), pripravite nove evidence dejavnosti obdelav.

Informacijski pooblaščenec je pripravil obrazca oz. vzorca evidenc obdelav tako za upravljavce kot obdelovalce, ki sta vam lahko v pomoč pri popisu. Za vsako zbirko izpolnite vzorec opisa zbirke, podatke opremite z datumom in popisom odgovorne osebe in opredelite, kako pogosto bo preverjeno, ali je stanje še ažurno.

Evidence dejavnosti obdelave ZA UPRAVLJAVCE – PRENESI OBRAZEC

Evidence dejavnosti obdelave ZA OBDELOVALCE – PRENESI OBRAZEC