Izvedba popisa zbirk osebnih podatkov v podjetju

Prvi korak do skladnosti obdelave osebnih podatkov v podjetju je gotovo ugotovitev in popis dejanskega stanja v podjetju. Da lahko ugotovite, kaj storiti in kako se odzvati, morate najprej ugotovili, kaj sploh obdelujete. Zaradi navedenega je pomembno da najprej v celoti in pravilno popišete vse zbirke osebnih podatkov, ki jih v podjetju obdelujete, saj boste le tako lahko določili cilje in način nadaljnjega postopanja.

Ali je popis zbirk osebnih podatkov obvezen?

Splošna uredba o varstvu podatkov ali GDPR v 30. členu določa, da mora vsak upravljavec osebnih podatkov voditi evidenco dejavnosti obdelave osebnih podatkov (v nadaljevanju popis zbirk) v pisni ali elektronski obliki. GDPR sicer v 5. odstavku navedenega člena določa, da popisa zbirk ni potrebno voditi podjetju ali organizaciji, ki zaposluje manj kot 250 oseb, razen, če je verjetno, da obdelava, ki jo izvaja predstavljala tveganje za pravice in svoboščine posameznikov in taka obdelava ni občasna ali vključuje posebne vrste osebnih podatkov. V skladu s priporočili Informacijske pooblaščenke, kot pristojnem nadzornem organu in tudi v skladu s smernicami Evropskega odbora za varstvo podatkov (EOVP ali ang. EDPB) je smiselno, da vsako podjetje, ki osebne podatke obdeluje vodi svoj popis zbirk osebnih podatkov. S pripravo popisa zbirk bo podjetje jasno ugotovilo katere podatke obdeluje ter kako jih mora obdelovati in varovati, da bo njihova obdelava skladna z zakonodajo. Tudi mi vam priporočamo, da v podjetju v elektronski obliki vodite popis zbirk osebnih podatkov, ki jih obdelujete, saj se je v praksi pokazalo, da vodenje takega popisa zbirk veliko pripomore k ustreznemu obvladovanju in ustrezni obdelavi osebnih podatkov v podjetju. 

Kaj mora popis zbirk osebnih podatkov vsebovati?

Priporočljivo je, da v podjetju vodite popis zbirk osebnih podatkov v elektronski obliki, na podlagi pripravljenega tipskega obrazca, v katerem navedete naslednje podatke:

  • naziv ali ime in kontaktne podatke upravljavca: Praviloma navedete svoje kontaktne podatke, torej podatke podjetja.
  • podatke pooblaščene osebe za varstvo podatkov: Kadar v podjetju obstaja pooblaščena oseba za varstvo osebnih podatkov (ali DPO) se navede tudi ime, naziv in kontaktni podatek pooblaščene osebe.
  • namene obdelave: Navedete namene, v katerih se osebni podatki obdelujejo v posamezni zbirki (npr. namen priprave obračuna in izplačila plač zaposlenim, namen uveljavljanja pravic in obveznosti iz delovnega razmerja …) 
  • opis kategorij posameznikov, na katere se nanašajo osebni podatki: Opiše se kategorije posameznikov, na katere se podatki v posamezni zbirki nanašajo (npr. zaposleni in bivši zaposleni delavci, kontaktne osebe dobaviteljev in kupcev …)
  • vrste osebnih podatkov: V to rubriko se navede, katere vrste osebnih podatkov posamezna zbirka vsebuje (vrste osebnih podatkov so: ime in priimek, naslov, EMŠO, davčna številka, TRR, slika, video, GPS lokacija …)
  • kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki: Navedete kdo bo do podatkov iz predmetne zbirke dostopal in jih obdeloval (npr. zaposleni, ki morajo dostopati zaradi opravljanja sovjega dela; pogodbeni obdelovalec, ki za upravljavca izvaja računovodstvo; pogodbeni obdelovalec, ki za upravljavca izvaja dejavnost hrambe podatkov …)
  • informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo: Navedete ali se bodo podatki iz predmetne zbirke pošiljali v mednarodno organizacijo ali tretjo državo (država zunaj EU). Če se bodo podatki pošiljali v tretjo državo, morate navesti v katero.
  • kadar je mogoče, predvidene roke za izbris različnih vrst podatkov: Navedete rok hrambe podatkov v posamezni zbirki.
  • splošni opis tehničnih in organizacijskih varnostnih ukrepov: Navedete katere tehnične (npr. ognjevarne omare, požarni zidovi, protivirusni programi, alarmni sistemi …) ali organizacijske ukrepe (npr. omejitev dostopa do zbirke s strani pooblaščenih oseb, omejitev gibanja v prostorih, politike čiste mize in praznega zaslona…) ste sprejeli za zagotavljanje varnosti obdelave osebnih podatkov.

Kaj pa ko nastopate kot obdelovalec in obdelujete le osebne podatke drugih upravljavcev?

Tudi če nastopate kot pogodbeni obdelovalec, morate voditi popis zbirk osebnih podatkov, ki jih obdelujete kot pogodbeni obdelovalec za vsakega posameznega upravljavca. Popis zbirk v tem primeru je manj obsežen in mora vsebovati:

  • naziv ali ime in kontaktne podatke obdelovalca in vsakega upravljavca, v imenu katerega deluje obdelovalec
  • podatke pooblaščene osebe za varstvo podatkov
  • vrste osebnih podatkov, ki se za posameznega upravljavca obdelujejo
  • Informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo
  • splošni opis tehničnih in organizacijskih varnostnih ukrepov

Potrebujete pomoč pri pripravi kvalitetnega popisa zbirk osebnih podatkov v podjetju? Z veseljem vam pri tem z našimi znanji in izkušnjami pomagamo. Kontaktirajte nas in si rezervirajte brezplačen 15 minutni uvodni razgovor preko videokonference (Skype, Zoom, Teams), v katerem bomo razjasnili vsa morebitna vprašanja, ki se vam porajajo v zvezi z varstvom osebnih podatkov v vašem podjetju. Lahko pa pišete tudi na elektronski naslov info@eudace.eu ali jaka@eudace.eu