Poziv Informacijske pooblaščenke

Ste tudi vi prejeli od Informacijskega pooblaščenca poziv k izpolnitvi obveznosti glede evidentiranja dejavnosti obdelave in informiranja posameznikov?

V pozivu Informacijski pooblaščenec (IP) ugotavlja, da številni zavezanci po Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (GDPR; v nadaljevanju: Splošna uredba), niso izpolnili svojih obveznosti glede evidentiranja dejavnosti obdelave po členu 30 Splošne uredbe predvsem v delu, ki se nanaša na evidentiranje obdelav osebnih podatkov, ki nastajajo in se obdelujejo ob uporabi službenih sredstev s strani zaposlenih.

Informacijski pooblaščenec v tem dopisu opominja, da velik delež zaposlenih pri svojem delu uporablja internet, elektronsko pošto, mrežne tiskalnike, stacionarno in mobilno telefonijo, magnetne/RFID kartice za odpiranje vrat in drugo elektronsko opremo in storitve, pri tem pa neizogibno nastajajo osebni podatki.

Po ugotovitvah Informacijskega pooblaščenca pa številni delodajalci tovrstnih podatkov ne obravnavajo kot osebne podatke zaposlenih, čeprav je njihova določljivost iz teh podatkov praviloma možna. Posledično so pogosto zanemarjene ključne dolžnosti zavezancev, da tudi tovrstne obdelave skladno z zahtevami člena 30 Splošne uredbe ustrezno evidentirajo, s tem pa opravijo ključni premislek o pravnih podlagah, (dopustnih) namenih uporabe, rokih hrambe, dostopnih pravicah, analizi in utemeljitvi pravne podlage zakonitega interesa (kjer je to pravna podlaga) in ostalih ključnih elementih za varstvo teh podatkov.

Ob navedenem pa je ključna tudi upravljavčeva dolžnost ustreznega informiranja posameznikov glede obdelave njihovih osebnih podatkov – v tem primeru zaposlenih (člena 13 in 14 Splošne uredbe).

V dopisu Informacijski pooblaščenec poziva, da morate svoje obveznosti izpolnite v najkrajšem možnem času, najkasneje do konca koledarskega leta in jih o tem obvestiti. Povratne informacije s strani zavezancev bo Informacijski pooblaščenec upošteval pri strateškem načrtovanju inšpekcijskih aktivnosti IP v prihodnjem letu.