Pojem osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da nameravate začeti z genetsko analizo skupaj s partnerskim laboratorijem, ki ima sedež in podružnico v tujini. Zanima vas, ali osebni podatek predstavlja:

• kri, ki bo v epruveti poslana vašemu laboratoriju, na sami epruveti pa bo navedena samo koda, na podlagi katere lahko le vi povežete posameznika z vzorcem krvi;
• slina, ki bo v laboratorij poslana v plastičnem zbiralniku;
• surovi podatki, ki jih laboratorij pridobi na podlagi analize (sekvenca genetskega zapisa ali specifične točke v genetskem zapisu).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Skladno s členom 4(1) Splošne uredbe pomeni pojem »osebni podatki« katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Pojem »genski podatki« pomeni po členu 4(13) Splošne uredbe osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika; pojem »biometrični podatki« pa skladno s členom 4(14) Splošne uredbe tiste osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki.

Uvodna izjava 26 Splošne uredbe pojasnjuje, da bi bilo treba pri ugotavljanju, ali je posameznik določljiv, upoštevati vsa sredstva – kot je na primer izločitev –, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave.

IP ob tem izpostavlja, da skladno z Mnenjem 4/2007 o pojmu osebnih podatkov Delovne skupine za varstvo osebnih podatkov iz člena 29 izraz »katera koli informacija« zahteva široko razlago pojma osebnega podatka. Z vidika narave informacij vključuje pojem osebnih podatkov vse vrste trditev o osebi. Zajema tako »objektivne« informacije, kot je prisotnost določene snovi v krvi neke osebe, ter tudi »subjektivne« informacije, mnenja ali ocene. V navedenem mnenju je med drugim izrecno pojasnjeno, da so vzorci človeškega tkiva (kot je vzorec krvi) sami po sebi vzorci, iz katerih se pridobi biometrične podatke, niso pa biometrični podatki sami po sebi (tako je na primer prstni odtis biometrični podatek, sam prst pa ne). Za samo zbiranje, hranjenje in uporabo vzorcev tkiv se lahko uporabljajo posebni sklopi pravil. Pridobivanje informacij iz vzorcev pa je zbiranje osebnih podatkov, za katero veljajo pravila Splošne uredbe.

Glede na navedeno sam vzorec krvi ali sline tako ni osebni podatek, prav tako ne biološki material, ki je vsebovan v njej. O osebnih podatkih je mogoče govoriti šele, ko se na podlagi analiz ustvarijo surovi ali interpretirani podatki, ki se nanašajo na vsaj določljivega posameznika. IP pa opozarja, da je treba vedno, ko zaradi uporabe biološkega materiala v raziskovalni namen pride do obdelave osebnih podatkov, upoštevati vsa pravila o varstvu osebnih podatkov.

IP glede določljivosti posameznika še pojasnjuje, da je vprašanje, kolikšna stopnja identifikatorjev je zadostna za določljivost posameznika, odvisno od okoliščin v konkretni situaciji. Kadar obseg razpoložljivih identifikatorjev na prvi pogled ne omogoča, da bi kdo izločil določeno osebo, je ta oseba mogoče še vedno določljiva, ker določena informacija, združena z drugimi informacijami (ne glede na to, ali jih upravljavec podatkov ima ali ne), omogoča, da se ta oseba razlikuje od drugih. Pri tem je pomembno, da se na določljivost gleda široko, prek vprašanja »ali se da« in ne »ali ga lahko mi določimo«. Treba je upoštevati vsa sredstva, informacije in znanja, ki jih imajo na voljo tudi drugi subjekti, ki bi lahko določili, za katerega posameznika gre. Na določljivost posameznika se torej ne gleda zgolj skozi lastne zmožnosti ali skozi zmožnosti enega subjekta, podjetja, organizacije, temveč širše glede na vse zbirke osebnih podatkov. Prav tako IP izpostavlja, da je identifikacija z imenom je sicer najpogostejša v praksi, vendar ime samo po sebi ni vedno nujno za identifikacijo posameznika.

Osebne podatke v primeru, ki ga opisujete, torej predstavljajo informacije o posamezniku, ki jih pridobite na podlagi analize krvi ali sline, pri čemer ni bistveno, da lahko posameznika identificirate oziroma povežete z določenimi informacijami le vi in ne tudi drug laboratorij ali pa tretje osebe. Prav tako za presojo, ali gre za osebni podatek, ni odločilno, da je določene informacije potrebno interpretirati, »da izvemo kaj novega/osebnega o posamezniku«. Surovi podatki, ki vsebujejo določene informacije o posamezniku, tako nedvomno predstavljajo osebne podatke v smislu opredelitve iz Splošne uredbe. Prav tako pa lahko psevdonimizirane osebne podatke predstavlja tudi koda na epruveti ali plastičnem zbiralniku. Psevdonimizacija namreč pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku (člen 4(5) Splošne uredbe). Tudi psevdonimizirani podatki pa so podvrženi pravilom Splošne uredbe.

Lep pozdrav,

                                                                                                     Mojca Prelesnik, univ. dipl. prav., 

                                                                                                             informacijska pooblaščenka

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov