Iskalnik po mnenjih GDPR
+ -pri Informacijskem pooblaščencu (IP) smo 19. 12. 2018 in 8. 1. 2019 (dodatna pojasnila) prejeli vaše zaprosilo za mnenje o tem, ali lahko za personificirane vozovnice, na katere so vezane določene ugodnosti zbirate tudi EMŠO končnih uporabnikov. Poleg podrobnih pojasnil ste priložili tudi evidenco dejavnosti, oceno učinkov ter tehnični opis projekta informacijskega sistema za prodajo vozovnic.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Po mnenju IP je, glede na predstavljeno dejansko stanje, zbiranje EMŠO za izdajo personificiranih vozovnic oziroma kart, ki so vezane na določene ugodnosti, dopustno.
Kljub temu pa priporočamo razmislek o uvedbi sistema zbiranja rojstnega datuma namesto celotne EMŠO.
O b r a z l o ž i t e v:
Po (b) točki prvega odstavka člena 6 Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita tudi, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Po (c) točki prvega odstavka člena 5 Splošne uredbe o varstvu podatkov morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
Da so v konkretnem primeru lahko izpolnjeni pogoji po omenjenih določbah Splošne uredbe o varstvu podatkov izhaja iz dejstva:
Predlagamo alternativno uvedbo zbiranja rojstnih datumov, ker so ti del EMŠO in bi utegnili zadovoljiti potrebo po določni identifikaciji uporabnikov. Poleg tega bi ta podatek bil enako praktično dostopen kot EMŠO in tudi kompatibilen s preostalim sistemom (kjer se obvezno zbira celotni EMŠO).
Smiselno se sklicujemo tudi na že objavljena mnenja IP št. 0712-1/2016/1043, 0712-1/2016/1026 in 092-3/2008/133. |
Dodatno še pojasnjujemo, da morajo biti uporabniki v vsakem primeru ustrezno obveščeni o vseh vidikih obdelave osebnih podatkov po členu 13 Splošne uredbe o varstvu podatkov.
Drugih vidikov uvedbe sistema SŽ Ticketing v tem mnenju ne presojamo.
Prijazen pozdrav,
Pripravi
l:
mag. Urban Brulc, univ. dipl. prav.
samostojni svetovalec IP
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka