Ponovno mnenje glede uporabe davčne številke za enolično identifikacijo uporabnika informacijskega sistema

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste po prejemu mnenja IP št. 07120-1/2021/623 z dne 20. 12. 2021 preverili sorazmernost nameravane obdelave davčnih številk in ste v ta namen pripravili podrobnejšo tabelo, v kateri so zajete pomembne informacije in pojasnila v zvezi z implementacijo novega informacijskega sistema za zbiranje podatkov. Prosite nas za pregled informacij in pojasnil v priloženi tabeli in za povraten odgovor, ali IP meni, da bi podatki, ki ste jih predložili, lahko v zadostni meri izkazovali, da davčne številke uporabnikov nujno potrebujete za izvajanje svojih zakonsko določenih nalog.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

IP ne more in ne sme komentirati vsebine pripravljene tabele, saj v vašem primeru ne gre za predhodno posvetovanje, kot ga predvideva 36. člen Splošne uredbe. IP ugotavlja, da ste s pripravo tabele izvedli vsaj prve korake t.i. ocene učinka v zvezi z varstvom podatkov, kot jo opisuje 35. člen Splošne uredbe. Glede na vaš dosedanji sistematični pristop k nameravani obdelavi osebnih podatkov vam priporočamo, da navedeno "delno" oceno učinka dopolnite še s preostalimi elementi ocene, kot jih predvideva Splošna uredba, kar vam bo pomagalo pri celovitemu izkazovanju skladnosti zagotavljanja varstva osebnih podatkov.

IP je v mnenju št. 07120-1/2021/623 z dne 20. 12. 2021 poudaril, da bi bilo pravno podlago za uporabo davčne številke za enolično identifikacijo posameznikov v okoliščinah konkretnega primera mogoče iskati le v določbi točke (e) prvega odstavka 6. člena Splošne uredbe (obdelava osebnih podatkov je zakonita, če je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu). Pri tem pa mora biti upravljavec zmožen dokazati (priporoča se pisna zabeležba), da je konkretna obdelava zares potrebna za opravljanje naloge v javnem interesu. Skladno s točko (c) prvega odstavka 5. člena Splošne uredbe morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. IP je v navedenem mnenju ugotavljal, da je treba pri presoji načela sorazmernosti obdelave osebnih podatkov izhajati iz vprašanja, ali se lahko isti namen doseže z milejšimi sredstvi, torej z obdelavo manjšega nabora ali manj »invazivnih« osebnih podatkov. Pri tem smo poudarili, da je treba v vašem konkretnem primeru temeljito presoditi, ali je skladno z načelom sorazmernosti, da zaradi zapleta z enolično identifikacijo nekaj posameznikov uvedete obdelavo davčne številke za vse posameznike. Izpostavili smo tudi določbo prvega odstavka 25. člena Splošne uredbe, ki govori o vgrajenem varstvu osebnih podatkov in nujnosti izvajanja ustreznih tehničnih in organizacijskih ukrepov, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter nujnost vključitve potrebnih zaščitnih ukrepov, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

IP je v mnenju št. 07120-1/2021/623 z dne 20. 12. 2021 zaključil, da če ugotovite in ste zmožni dokazati, da davčno številko nujno potrebujete za izvedbo vaših zakonsko določenih nalog, ste dolžni izvajati ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija (razmisliti morate torej tudi o možnosti vpeljave rešitve s psevdonimizacijo), ter vse druge ukrepe, da zagotovite ustrezno raven varstva osebnih podatkov.

V povratnem sporočilu navajate, da ste mnenje IP upoštevali pri iskanju možnih rešitev in ste tudi ob upoštevanju načela sorazmernosti prišli do zaključka, da enolične identifikacije posameznika ni mogoče doseči brez pridobivanja davčnih številk vseh uporabnikov operaterjev, izvajalcev poštnih storitev in paketne dostave. Ob upoštevanju vseh okoliščin ste ugotovili, da je edini možni način, da se izognete vsem potencialno nevarnim okoliščinam, ki bi lahko privedle do dostopa do podatkov nepooblaščenim osebam samo s pridobivanjem davčnih številk vseh uporabnikov. V ta namen ste pripravili tudi podrobnejšo tabelo, v kateri so zajete informacije in pojasnila v zvezi z implementacijo novega informacijskega sistema za zbiranje podatkov, od zakonske podlage, do postopka prijave uporabnikov v sistem, registracije uporabnikov, pojasnil glede uporabniških skupin in uporabniških profilov, podrobnosti glede skrbnikov uporabniških profilov, ter konkretnih primerov (scenarijev), do katerih bi lahko prišlo brez upoštevanja davčne številke kot enoličnega identifikatorja uporabnika.

IP ponovno poudarja, da konkretnih informacijskih rešitev v neobveznem mnenju ne more komentirati, prav tako pa se ne more v smislu "odobritve" spuščati v analizo konkretne tabele, ki ste jo pripravili, saj niso izpolnjeni pogoji za uvedbo postopka predhodnega posvetovanja v smislu 36. člena Splošne uredbe. Vsebina tega mnenja se tako ne more razumeti kot mnenje o (ne)ustreznosti vašega dosedanjega pristopa.

Ugotovimo pa lahko, da ste s pripravo tabele izvedli neke vrste oceno učinka v zvezi z varstvom podatkov, kar je pri uvedbi novih informacijskih rešitev vedno dobrodošlo, tudi kadar ni predpisano s prvim odstavkom 35. člena Splošne uredbe.

Glede na vaš dosedanji sistematični pristop k vprašanju ustreznega varstva osebnih podatkov s pripravo "delne" ocene učinka v zvezi z varstvom osebnih podatkov, vam tako svetujemo, da oceno dopolnite še s preostalimi elementi ocene, kot so opredeljeni v sedmem odstavku 35. člena Splošne uredbe. Slednji določa, da ocena zajema vsaj:

1. sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
2. oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
3. oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter
4. ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

IP je že v mnenju št. 07120-1/2021/623 z dne 20. 12. 2021 poudaril, da ste dolžni izvajati ustrezne tehnične in organizacijske ukrepe ter vse druge ukrepe, da zagotovite ustrezno raven varstva osebnih podatkov, kar je seveda obveznost, ki izhaja iz Splošne uredbe. Sami ste že omenili izpolnjevanje pravic posameznikov po 13. členu Splošne uredbe, drugih ukrepov pa sicer niste omenjali. Zaradi navedenega vam priporočamo, da svojo oceno dopolnite predvsem z informacijami, ki so opredeljene v točkah (c) in (d) sedmega odstavka 35. člena Splošne uredbe. To orodje vam bo pomagalo zajeti vse vidike, ki so potrebni pri zagotavljanju skladnosti s Splošno uredbo, ki jih morda doslej še niste.

IP je oceni učinka v zvezi z varstvom osebnih podatkov namenil podstran na svoji spletni strani, ki vam je lahko pri izvedbi (preostalih delov) ocene učinka v pomoč: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov