Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 27.11.2013
Naslov: Sledenje uporabnikom trgovskega centra na podlagi MAC naslova
Številka: 0712-1/2013/3689/2
Vsebina: Moderne tehnologije, Trgovinska dejavnost
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: Pooblaščenec) je prejel vaše elektronsko sporočilo, v katerem navajate, da pripravljate programsko rešitev, ki bi omogočila sledenje obiskovalcev trgovinskega centra skozi zaznavo MAC naslovov njihovih mobilnih naprav. Konkretno bi zaznavali t.i. Probe Requeste (iz IEEE 802.11 WLAN specifikacije), s katerimi obiskovalčeva mobilna naprava sprašuje po prisotnih brezžičnih omrežjih. Namen zbiranja je pridobiti določene agregatne podatke o gibanju obiskovalcev, npr. spremljanje fluktuacije gibanja obiskovalcev po posameznih področjih centra, čas njihovega zadrževanja po posameznih področjih oz. centru v celoti, idr.

Zanima vas, ali gre v primeru pridobivanja MAC naslovov za obdelavo osebnih podatkov, in če, kakšne bi bile obveznosti pri tovrstni obdelavi. Pri tem navajate, da MAC naslov po vašem gledanju ne predstavlja osebnega podatka, saj sam po sebi še ne identificira posameznika (imetnika naprave), dejanska identifikacija na podlagi dodatnih okoliščin (uparjanje z videonadzorom, plačili, idr.) pa da bi bila časovno, stroškovno in tehnično nesorazmerno zahtevna.


Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/2004 s spremembami in dopolnitvami; v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Posebej opozarjamo, da je mnenje podano na podlagi prejetih informacij o predvidenem delovanju sistema in da bi lahko bilo mnenje ob drugačnem dejanskemu stanju ali okoliščinah drugačno.

 
Pooblaščenec meni, da podatek o MAC naslovu brezžičnega vmesnika v mobilni napravi obiskovalca trgovinskega centra predstavlja osebni podatek, zato je za njegovo obdelavo (sledenje gibanja skozi trgovski center ter izdelavo pripadajočih agregatnih statistik) potrebna ustrezna pravna podlaga.

Glede na naravo in namen obdelave osebnih podatkov lahko pravno podlago za obdelavo osebnih podatkov v konretnem primeru predstavlja določba 3. odstavka 10. člena ZVOP-1, seveda ob upoštevanju določenih ukrepov za zmanjšanje posega v informacijsko zasebnost ter uporabo ustreznega predhodnega obvestila za uporabnika.


Obrazložitev:

Pooblaščenec je podobno vprašanje – zbiranja MAC naslovov za potrebo anonimiziranih in agregiranih statističnih obdelav v cestnem prometu - že obravnaval, takrat sicer v zvezi z Bluetooth, ne IEEE 802.11 WLAN (tudi Wi-Fi) tehnologijo. V mnenju št. 0712-14/2013 z dne 28.3.2013 (glej http://bit.ly/155XKHT) tako zavzemamo stališče, da MAC naslov je osebni podatek, saj lahko tudi brez nesorazmernega napora idr. v smislu določbe 2. točke 1. odstavka 6. člena ZVOP-1 vodi do identifikacije posameznika. MAC naslov (tj. serijska številka brezžičnega čipa v obiskovalčevi mobilni napravi) je namreč enolično določen vsaki mobilni napravi in ga je v večini primerov težko zamenjati, s tem pa je ob upoštevanju običajnih vzorcih uporabe mobilnih naprav - te zelo redko posojamo drugim - treba priti do zaključka, da se nanaša na določene ali vsaj določljive posameznike. Dejstvo, da upravljavec pri tem še ne razpolaga z imenom in priimkom oz. drugimi osebnimi podatki posameznika, ne predstavlja ovire za to. Omenjene podatke o imenu in priimku bo mogoče pridobiti tudi naknadno, delno npr. že ob pomoči identifikacije proizvajalca mobilne naprave, ki je sestavni del MAC naslova. Še več, Pooblaščencu so znane nekatere druge rešitve, npr. PayPal Beacon (glej https://www.paypal.com/webapps/mpp/beacon), ki ob pomoči ustrezne mobilne aplikacije na mobilni napravi potrošnika omogočajo popolno identifikacijo slednjega že ob vstopu oz. celo približanju trgovini. Treba je upoštevati, da bo tovrstnih rešitev v prihodnosti kvečjemu še več. Čeravno torej način obdelave, kot ga navajate v vašem dopisu, v danem trenutku sam po sebi ne omogoča oz. predvideva enostavnega poimenskega določanja uporabnika mobilne naprave, tega ni mogoče izključiti za v prihodnje, oz. to že tako ni bistveno za kvalifikacijo MAC naslova za osebni podatek.

Navedeno izhaja tudi iz mnenja Delovne skupine iz člena 29 (mnenje mnenju o konceptu osebnih podatkov št. 4/2007, dostopno na ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf), v katerem je poudarjeno, da je evropski zakonodajalec želel oblikovati širok pojem „osebnih podatkov“ in ga ohranjati skozi celoten zakonodajni postopek. Med bistvene poudarke mnenja sodi tudi ugotovitev, da morajo upravljavci »gledati široko«, t.j. upoštevati ne le lastne zmogljivosti, informacije, znanja in sredstva, temveč tudi zmožnosti drugih subjektov in obstoj drugih podatkov, ki se oz. je pričakovati, da bi se lahko uporabili, da določijo posameznika, na katerega se podatek nanaša.

Napačno bi bilo tudi tolmačenje, češ da gre za podatke, ki se nanaša na napravo in ne na posameznika. Zakonodaja o varstvu osebnih podatkov varuje podatke, ki določajo ali omogočijo določljivost posameznika in podatki, kot so registrska števila avtomobila, MAC naslov omrežne naprave ali pa IMEI številka mobilnega telefona so primeri, kjer je verjetnost določljivosti tolikšna, da je takšne podatke treba obravnavati kot osebne podatke.

Pooblaščenec posledično meni, da je za zbiranje, hrambo in obdelavo podatka o MAC naslovu ter času zajema MAC naslova potrebno upoštevati ustrezna določila Zakona o varstvu osebnih podatkov (ZVOP-1). Prvo in ključno vprašanje zadeva ustrezno pravno podlago za obdelavo osebnih podatkov (8. člen ZVOP-1). Navajate, da v konkretnem primeru pripravljate rešitev za trgovinski center. Pooblaščenec pri tem predpostavlja, da bo upravljavec osebnih podatkov pravna oseba zasebnega prava (10. člen ZVOP-1), vaše podjetje pa bo nastopalo kot pogodbeni obdelovalec (11. člen ZVOP-1).

Prvi odstavek 10. člena ZVOP-1 določa, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. V vašem zaprosilu posebne zakonske podlage ne navajate, zato Pooblaščenec te možnosti ne presoja. Glede privolitve pa Pooblaščenec upošteva vaše navedbe, da bi bilo pridobivanje izrecnih osebnih privolitev v obdelavo zadevnih osebnih podatkov v praksi neizvedljivo oz. bi bil pod tem pogojem vzorec zbranih podatkov tako majhen, da ciljev zbiranja več ne bi bilo mogoče doseči. Na podlagi tega odstavka bo torej težko najti ustrezno pravno podlago. Bi pa po mnenju Pooblaščenca lahko v poštev prišla določba 3. odstavka 10. člena ZVOP-1.  Po tej določbi se lahko ne glede na prvi odstavek tega člena v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

Pooblaščenec pri tem opozarja, da je zavoljo potencialne škode za prizadete posameznike omenjeno določbo (izjemo) iz tretjega odstavka 10. člena ZVOP-1 treba razlagati ozko. Pooblaščenec pri tem upošteva vse znane okoliščine in hkrati ponovno opozarja, da bi lahko bilo mnenje ob drugačnem dejanskemu stanju ali okoliščinah drugačno.

Pooblaščenec meni, da je interes vodenja agregatnih in anonimiziranih statistik o prisotnosti določenega MAC naslova (posameznika) v določenem predelu trgovine ob določenem času, ter izvajanje določenih zaključkov iz teh podatkov, mogoče podrediti omenjenemu odstavku, vendar le, če upravljavec podatkov hkrati zagotovi, da bodo interesi posameznika glede varstva osebnih podatkov ustrezno varovani. Pooblaščenec posledično meni, da je mogoče z določenimi ukrepi v zadostni meri zmanjšati tveganja za možnosti zlorabe osebnih podatkov, da bilo delovanje sistema na opisan način skladno z zahtevami ZVOP-1, obdelava podatkov pa možna na podlagi 3. odstavka 10. člena ZVOP-1. Tu je bistvenega pomena, da se s pravočasnimi presojami vplivov na osebne podatke in zasebnost (angl. Privacy Impact Assessment) ter upoštevanjem koncepta vgrajene zasebnosti (angl. Privacy By Design) zagotovi, da obdelava podatkov poteka na zakonit način. Prav tako je pomembno pravočasno predvideti ukrepe, s katerimi je sicer mogoče doseči zasledovane cilje na način, ki zahteva najmanjši nabor osebnih podatkov in varovalke, s katerimi se zmanjšajo tveganja za možnosti zlorab osebnih podatkov.

Ker je navedeni namen vaše rešitve predvsem pridobitev anonimiziranih in agregatnih statistik o gibanju uporabnikov v določenem prostoru, je treba poskrbeti, da se čim prej prekine možnost določljivosti posameznika iz zbranih podatkov. V ta namen Pooblaščenec predlaga:

•    da se surovi podatki o MAC naslovu takoj po zajemu z uporabo enosmernih zgoščevalnih algoritmov (npr. sha-1) z uporabo naključnih vrednosti (angl. nuance/salt) pretvorijo v negovoreče identifikatorje (kodirane označbe MAC naslova), originalni podatki pa zavržejo;
•    da se tudi zgoščeni (negovoreči) identifikatorji hranijo za minimalno potrebno obdobje, tj. zgolj tako dolgo, kot so potrebni za pripravo nameravanih statistik. Po preteku tega časa se individualne podatke pobriše, priporoča pa se tudi menjavo salt vrednosti. Če je namreč namen, ki ga zasledujete »spremljati fluktuacijo gibanja obiskovalcev po posameznih področjih trgovinskega centra, čas zadrževanja v centru in po posameznih delih«, potem pooblaščenec ne vidi razloga po hrambi podatkov, ki bi presegala en dan oz. čas obratovanja trgovskega centra na določen dan. Morebitna hramba podatkov za daljše obdobje bi lahko pomenila zbiranje podatkov, iz katerih bi bilo mogoče ugotoviti vzorec obnašanja posameznega obiskovalca, za kar ne bi bilo več mogoče uporabiti pravne podlage iz 3. odstavka 10. člena – za obdelavo tovrstnih podatkov bi bilo treba pridobiti vnaprejšnjo izrecno privolitev posameznika.
•    da se iz zbranih podatkov shranjuje zgolj podatek o MAC naslovu. Kot navajate, nameravate zbirati t.i. Probe Requeste, s katerimi mobilne naprave poizvedujejo za prisotnimi brezžičnimi omrežji v svoji neposredni okolici. Omenjeni zahtevki lahko vključujejo tudi ime omrežja, ki ga naprava išče, kar bo tipično prav tisto omrežje, v katerega je oprava največ priključena – npr. domače ali službeno. Imena teh omrežij lahko vključujejo tudi osebne podatke, tipično priimek ali naziv upravljavca omrežja. Pooblaščenec tukaj striktno opozarja, da se podatki o imenih iskanih omrežij ne smejo zbirati in hraniti. Ker niso potrebni za pripravo ciljnih statistik, za njihovo zbiranje in obdelavo tudi ni ustrezne pravne podlage. Poskusi zbiranja podatkov o prisotnih omrežjih, ali celo vsebini prometa na teh omrežij (šifriranih ali ne) so bili v preteklosti že večkrat sankcionirani. Informacijski pooblaščenec v nemški zvezni deželi Hamburg je denimo aprila 2013 ameriškemu podjetju Google izrekel sankcijo v višini 145.000,00€ zavoljo zbiranja podatkov o prisotnih wi-fi omrežjih tekom izvajanja fotografiranj za potrebo storitve StreetView.
•    da se sprejme ustrezne postopke in ukrepe za varovanje in nadzor dostopov do obdelovanih podatkov, najprimerneje v pisni pogodbi med obdelovalcem in pogodbenim izvajalcem (2. odstavek 11. člena ZVOP-1), ki po zakonski določbi vključuje tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov (24. in 25. člen ZVOP-1).

Pooblaščenec obenem opozarja še na obveznosti upravljavca iz 19. člena ZVOP-1, da uporabnike (obiskovalce trgovskega centra) vnaprej ustrezno obvesti o obdelavi njihovih osebnih podatkov v času gibanja v trgovskem centru. Pooblaščenec tukaj sicer upošteva, da bi se posameznik moral zavedati, da se bodo v primeru vklopljene Wi-Fi naprave oddajali določeni njegovi osebni podatki, vendar hkrati opozarja, da to še ne pomeni, da posameznik glede omenjenih podatkov ne more pričakovati nobene zasebnosti (glej gornjo omembo sankcij v primeru Street View). Posledično priporočamo uporabo ustreznega obvestila o izvajanju nadzora prisotnih Wi-Fi naprav (npr. po vzorcu opozorila o uporabi videnadzora), kar bo obiskovalcem omogočilo, da se natančneje seznanijo z upravljavcem podatkov, namenom zbiranja podatkov, možnostjo uveljavljanja svojih pravic iz ZVOP-1 (kot spodaj) ter seveda, če želijo, začasno izklopijo Wi-Fi na svojih napravah. Obiskovalcem pripadata tudi pravica po 30. členu ZVOP-1 (seznanitev z lastnimi osebnimi podatki), ter pravica do dopolnitve, popravka, blokiranja, izbrisa in ugovora iz 32. člena ZVOP-1, upoštevaje posebnosti v primeru obdelave osebnih podatkov na podlagi tretjega odstavka 10. člena iz 3. do 6. odstavka 32. člena ZVOP-1.



S pozdravi,


Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka