Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 10.01.2019
Naslov: Zbiranje EMŠO
Številka: 0712-3/2018/2774
Vsebina: EMŠO in davčna
Pravni akt: Mnenje

pri Informacijskem pooblaščencu (IP) smo 19. 12. 2018 in 8. 1. 2019 (dodatna pojasnila) prejeli vaše zaprosilo za mnenje o tem, ali lahko za personificirane vozovnice, na katere so vezane določene ugodnosti zbirate tudi EMŠO končnih uporabnikov. Poleg podrobnih pojasnil ste priložili tudi evidenco dejavnosti, oceno učinkov ter tehnični opis projekta informacijskega sistema za prodajo vozovnic.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Po mnenju IP je, glede na predstavljeno dejansko stanje, zbiranje EMŠO za izdajo personificiranih vozovnic oziroma kart, ki so vezane na določene ugodnosti, dopustno.

 

Kljub temu pa priporočamo razmislek o uvedbi sistema zbiranja rojstnega datuma namesto celotne EMŠO.

 

 

 

O b r a z l o ž i t e v:

 

Po (b) točki prvega odstavka člena 6 Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita tudi, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Po (c) točki prvega odstavka člena 5 Splošne uredbe o varstvu podatkov morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

Da so v konkretnem primeru lahko izpolnjeni pogoji po omenjenih določbah Splošne uredbe o varstvu podatkov izhaja iz dejstva:

  • da bi v konkretnem primeru EMŠO, zaradi unikatnosti in nespremenljivosti, predstavljal zanesljiv identifikator, kar za osebno ime in naslov ne velja;
  • da je podatek potreben zaradi izpolnjevanja pogojev prevozne pogodbe, po kateri je vozovnica vezana na točno določeno osebo in ni prenosljiva;
  • da bi se EMŠO beležil le v zalednem sistemu SŽ Ticketing in ne bi bil viden na izkaznih listinah;
  • da se za večji del vozovnic oziroma kart že sedaj obvezno zbira EMŠO, in sicer zaradi subvencioniranih prevozov, zaradi česar bi bil dvojni oziroma neenotni sistem (tj. EMŠO/DŠ) nesmiseln;
  • da uporaba davčne številke v praksi ni primerna, ker je potniki večinoma nimajo s seboj ter je tudi niso dolžni imeti vedno pri sebi, zaradi česar bi bili soočeni s praktičnimi problemi pri nakupu in preverjanju vozovnic;
  • da bi se EMŠO zbiral le v zvezi z vozovnicami, na katere so vezane določene ugodnosti (popusti in subvencije);
  • da je uporabnikom omogočen tudi nakup nepersonificiranih vozovnic, kar pomeni, da uporabniki niso v vsakem primeru prisiljeni k razkritju EMŠO in so lahko povsem anonimni uporabniki prevoznih storitev;
  • da bi blagajnik videl EMŠO le ob nakupu ter vlakospremna oseba le pri preverjanju identitete uporabnika, na primer ob sumu zlorabe, ki pa so že bile zaznane v obstoječem sistemu, zlasti pri upokojenskih, študentskih in internih delavskih kartah.

 

Predlagamo alternativno uvedbo zbiranja rojstnih datumov, ker so ti del EMŠO in bi utegnili zadovoljiti potrebo po določni identifikaciji uporabnikov. Poleg tega bi ta podatek bil enako praktično dostopen kot EMŠO in tudi kompatibilen s preostalim sistemom (kjer se obvezno zbira celotni EMŠO).

 

Smiselno se sklicujemo tudi na že objavljena mnenja IP št. 0712-1/2016/1043, 0712-1/2016/1026 in 092-3/2008/133.

  

Dodatno še pojasnjujemo, da morajo biti uporabniki v vsakem primeru ustrezno obveščeni o vseh vidikih obdelave osebnih podatkov po členu 13 Splošne uredbe o varstvu podatkov.

 

Drugih vidikov uvedbe sistema SŽ Ticketing v tem mnenju ne presojamo.

 

Prijazen pozdrav,

 

Pripravi

l:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka