Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 28.12.2017
Naslov: Določljivost posameznikov in osebnih podatko
Številka: 0712-1/2017/2561
Vsebina: Definicija OP, Telekomunikacije in pošta
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vaš dopis, v katerem nas sprašujete, ali je vaše mnenje, da prometnih podatkov o klicih (angl. Call Data Record) v vašem primeru – opravljate namreč storitve posredovanja mednarodnega glasovnega prometa med operaterji, ni mogoče šteti za osebne podatke, saj nimate nobenih možnosti ugotoviti, na koga se nanaša določena telefonska številka v CDR zapisu.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Vašemu stališču ni mogoče pritrditi.

 

Obstoječa zakonodaja (ZVOP-1) kakor tudi bodoča - Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba) bistveno ne spreminja definicije osebnega podatka v smislu, da ključni test ostaja določljivost posameznika. Na določljivost posameznika pa se gleda široko, torej ne samo skozi lastne zmožnosti, namene in interese, temveč se upošteva tudi, ali bi iz podatkov, ki jih vi obdelujete, drugi lahko izvedeli, na koga se nanašajo podatki.

 

Pri tem je zelo pomembno, da se na določljivost gleda na široko, skozi vprašanje »ali se da?« in ne »ali ga lahko mi določimo?«. Treba je upoštevati vsa sredstva, informacije in znanja, ki jih imajo na voljo tudi drugi subjekti, ki bi lahko določili, za katerega posameznika gre. Na določljivost posameznika se torej gleda na široko in ne zgolj skozi lastne zmožnosti ali skozi zmožnosti enega subjekta, podjetja, organizacije [1]. Več o konceptu osebnih podatkov v mnenju Delovne skupine za varstvo osebnih podatkov iz člena 29:

 

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_sl.pdf

 

CDR zapisi vsebujejo telefonski številki klicanega in kličočega in zato sami po sebi vsebujejo osebne podatke, posledično pa vsi, ki operirajo s CDR zapisi tudi obdelujejo osebne podatke, saj obdelava zajema tudi prenos in ne samo hrambo, uporabo ali druge vrste ravnanj s podatki. Popolnoma razumljivo je, da glede na naravo storitev in področje delovanja ni pričakovati, da bi kakorkoli želeli identificirati osebe za posameznimi telefonskimi številkami, žal pa to še ne pomeni, da tega iz »vaših« podatkov ne bi mogli storiti drugi. Zato je treba šteti, da obdelujete osebne podatke in da ste dolžni spoštovati zakonodajo o varstvu osebnih podatkov.

 

 

Lep pozdrav,

 

Pripravil:                                                                                                                               

mag. Andrej Tomšič

namestnik informacijske pooblaščenke

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 


[1] Če bi npr. javno objavili CDR zapise (kar seveda absolutno odsvetujemo), s katerimi razpolagate, bi se iz teh podatkov prav gotovo dalo razbrati v velikem številu primerov, na koga so se nanašali klici, zato ni mogoče sprejeti stališča, da ne gre za osebne podatke. Še več, anomnimizacija teh podatkov bi terjala uporabo posebnih tehnik in metod za anonimizacijo, ki so podrobneje opisane in obrazložene v mnenju Delovne skupine iz člena 29, dostopno na: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf),