Ena od obveznosti finančnih institucij je hramba teh podatkov ter zagotavljanje t. i. revizijske sledi - hranjenje informacije o tem, kateri podatek je bil predmet obdelave, kdo ga je obdeloval, na kateri pravni osnovi in komu je bil posredovan. Glede vprašanja, koliko časa so finančne institucije zavezane hraniti take podatke, so določbe nekaterih področnih zakonov v koliziji.
A najprej k vprašanju, katere podatke finančne institucije sploh obdelujejo in morajo hraniti ter kaj vse je možno razumeti pod pojmom obdelovanje podatkov. Nedvomno veliko večino podatkov, s katerimi se finančne institucije srečujejo, predstavljajo osebni podatki. V tem primeru gre za podatke, ki se nanašajo na posameznika (1. točka 6. člena Zakona o varstvu osebnih podatkov - ZVOP-1), torej na stranke kot fizične osebe. Osebni podatki so tako glavnina vseh podatkov, ki jih morajo finančne institucije varovati kot poslovno skrivnost po 39. členu Zakona o gospodarskih družbah (ZGD-1), banke in hranilnice pa še po 126. členu Zakona o bančništvu (ZBan-2), dolžnost varovanja zaupnih podatkov). Preostanek podatkov, njegov bistveno manjši del, pa so drugi zaupni podatki, ki se nanašajo na stranke kot pravne osebe in se s tem ne kvalificirajo pod osebne podatke oziroma gre za anonimizirane osebne podatke, interne podatke ali celo javno objavljene podatke.
Pojem obdelovanja podatkov je precej širok in glede na ZVOP-1 zajema približno 20 različnih načinov ročnega ali avtomatiziranega delovanja ali niza delovanj. Delovanje se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov (3. točka 6. člena). Med njimi so najpogostejši načini obdelovanja vpis, shranjevanje, urejanje, vpogled, sporočanje, anonimiziranje in izbris ali uničenje. Pri tem lahko finančne institucije podatke obdelujejo same, jih zaupajo v obdelovanje pogodbenim podobdelovalcem oziroma jih posredujejo nadzornim ali drugim institucijam, ki jih obdelujejo v okviru svojih nadzorstvenih pristojnosti. O tem, kdo konkretno obdeluje podatke, po kateri pravni podlagi in komu se ti podatki posredujejo, morajo finančne institucije zagotavljati pravilne revizijske sledi.
Revizijska sled
Slovenski inštitut za revizijo (SIR) je v publikaciji SIR*IUS4 revizijsko sled opredelil kot nespremenljiv podroben dokumentiran zapis, ki nedvoumno, neizpodbitno in celovito dokumentira zapisovanje in spreminjanje zapisov v celotni življenjski dobi revizijske sledi, od izvornega zapisa do trenutno veljavnega zapisa. Po mnenju SIR mora biti iz revizijske sledi razvidno vsaj, kakšna operacija je bila izvedena nad posameznim zapisom, kdo jo je izvedel, s katerimi podatki in kdaj, ter s tem omogočeno naknadno prepoznavanje časovne točke, vršilca, načina in vsebine naknadne obdelave podatkov, na katere se revizijska sled nanaša.
Upravljavec zbirk osebnih podatkov mora zagotavljati revizijsko sled za vse vrste obdelav, kot jih pozna navedeni zakon, oziroma mora zagotavljati, da je možno poznejše ugotavljanje, kdaj so bili posamezni osebni podatki kakorkoli obdelani in kdo je to storil. Ker revizijske sledi služijo predvsem kot instrument varovanja interesov strank v primeru zlorabe osebnih in drugih podatkov, obveznost zagotavljanja revizijske sledi velja za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov (5. točka prvega odstavka 24. člena ZVOP-1).
Nadaljevanje članka > mag. Peter Merc in Janko Šavnik: Hramba podatkov in revizijska sled
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.
