Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 03.07.2019
Naslov: Obdelava osebnih podatkov pri izvedbi projetka "Nadgradnja analitičnih modelov na področju pokojninskega sistema"
Številka: 0712-1/2019/1592
Vsebina: Pogodbena obdelava podatkov, Statistika in raziskovanje
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš zgoraj naveden dopis, v katerem navajate, da je Ministrstvo za delo, družino, socialne zadeve in enake možnosti (v nadaljevanju: MDDSZ), z … (v nadaljevanju: …) sklenila pogodbo o sofinanciranju projekta »Nadgradnja analitičnih modelov na področju pokojninskega sistema« (Priloga 1), ki je v pretežni meri financiran s sredstvi Evropskega socialnega sklada. Ustanovitelj … je Republika Slovenija, ustanoviteljske pravice in obveznosti pa izvršuje Vlada Republike Slovenije. Namen projekta je zagotovitev rednega raziskovalnega dela na razvoju in vzdrževanju tako baz podatkov kot tudi modelskih orodij, ki bodo omogočala hitro in učinkovito odzivnost na strateške in tudi tekoče potrebe nosilcev ekonomske politike na pomembnih področjih delovanja slovenske vlade v naslednjih desetletjih: davčnega sistema in socialnih prispevkov, pokojninskega sistema, socialnih transferjev in trga dela. Končen cilj projekta je razvoj mikrosimulacijskega modela trga dela, nadaljnji razvoj mikrosimulacijskega modela socialnih transferjev in nadaljnji razvoj dinamičnega pokojninskega modela. Vzpostavitev oz. nadgradnja navedenih modelov je ključnega pomena za nadaljnji razvoj politik na omenjenih področjih in prihodnje delo MDDSZ (pokojninska reforma, prilagoditve socialnih transferjev, spremembe na trgu dela, …). Vzpostavitev navedenih mikrosimulacijskih modelov bo terjala pridobitev podatkov iz različnih virov, ki jih bo za namene … združil in ustrezno obdelal (tudi anonimiziral) Statistični urad RS, manjši del podatkov pa bo od upravljavcev evidenc pridobil neposredno ….

 

MDDSZ skladno z 49. členom Zakona o uveljavljanju pravic iz javnih sredstev – ZUPJS (Uradni list RS, št. 62/10, s sprem.) za potrebe odločanja o pravicah iz javnih sredstev, načrtovanje politike povečevanja socialne vključenosti, spremljanje stanja ter za znanstvenoraziskovalne in statistične namene vodi informatizirano zbirko podatkov, ki zajema pravice iz javnih sredstev. Skladno s 50. členom ZUPJS zbirko podatkov iz 49. člena obdeluje ministrstvo kot upravljavec centralne zbirke podatkov o pravicah iz javnih sredstev. Skladno z 52. členom ZUPJS lahko ministrstvo osebne podatke, ki se vodijo v centralni zbirki podatkov iz 49. člena ZUPJS in podatke, ki jih pridobivajo od upravljavcev zbirk osebnih podatkov, med drugim obdeluje tudi za potrebe spremljanja stanja, za analize ter znanstvenoraziskovalne in statistične namene.

 

MDDSZ bi v skladu s predhodno opisanim projektom in pravnimi podlagami ZUPJS izvajalcu projekta … posredoval natančno določen nabor podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev v anonimizirani obliki, potreben za izvedbo predstavljenega projekta. Nabor podatkov bi zajemal podatke o vlagateljih, upoštevanih dohodkih in premoženju ter pravicah izdanih odločb o uveljavljanju pravic iz javnih sredstev v letu 2017 (Priloga 2: Nabor podatkov). Navedeni nabor podatkov ne vsebuje občutljivih osebnih podatkov. Podatki bi bili anonimizirani, pri čemer bi EMŠO vlagatelja nadomestili z negovorečim podatkom (naključni ključ), ki pa bi omogočal povezovanje posameznih podatkov o vlagatelju oz. vlogi znotraj nabora vseh podatkov. Točen rojsten datum vlagatelja oz. povezanih oseb pa bi nadomestili zgolj z letnico rojstva. Navedena dva podatka v skladu z oceno MDDSZ edina omogočata neposredno ali posredno identifikacijo posameznika brez nesorazmerno velikega napora, časa in finančnih resursov.

 

MDDSZ bi z … o prenosu in obdelavi navedenih podatkov sklenil tudi pogodbo o zagotovitvi podatkov, obdelavah in varstvu le-teh (Priloga 3: Osnutek pogodbe). Podatki bi bili uporabljeni izključno za namene projekta, katerega rezultati bi ob vzpostavljenih mikrosimulacijskih modelih predstavljali tudi popolnoma anonimizirane ocene mikro in makro učinkov spremembe politik na določenih področjih.

 

V zvezi z opisanim projektom, posredovanju podatkov in njihovi anonimizaciji vas zanima predhodno stališče Informacijskega pooblaščenca, ali:

  • Izpostavljene pravne podlage v ZUPJS dopuščajo oz. zadoščajo za prenos in zunanjo obdelavo (….) anonimiziranih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev na predviden način?
  • Ali anonimizacija podanega nabora podatkov z vidika nadomestitve EMŠO posameznika z negovorečim ID in zamenjava točnega rojstnega datuma vlagatelja in povezanih oseb, zgolj z letnico rojstva predstavlja zadostno mero anonimizacije oz. ustreza standardu psevdoanonimizacije glede na predviden nabor podatkov?

 

****

Na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

Izpostavljene določbe 49., 50. in 52. člena ZUPJS ne dopuščajo prenosa oziroma posredovanje neanonimiziranih ali psevodnimiziranih osebnih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev v obdelavo na … na predstavljen način, pač pa je izpostavljene določbe ZUPJS mogoče šteti le kot pravno podlago, ki MDDSZ pooblašča za vzpostavitev in vodenje navedene zbirke ter za uporabo osebnih podatkov iz navedene zbirke za v zakonu določene namene, med katere sodi tudi uporaba osebnih podatkov za spremljanja stanja, za analize ter znanstvenoraziskovalne in statistične namene.

 

MDDSZ lahko osebne podatke iz centralne zbirke podatkov o pravicah iz javnih sredstev za namene spremljanja stanja, za analize ter znanstvenoraziskovalne in statistične namene ob izvajanju zaščitnih ukrepov iz člena 89 Splošne uredbe izvaja samo, lahko pa to pod pogoji, določenimi v členu 28 Splošne uredbe, poveri drugi pravni ali fizični osebi, ki se v tem primeru šteje kot pogodbeni obdelovalec.     

 

Sprememba osebnih podatkov na način, da se EMŠO posameznika nadomesti z negovorečim ID in zamenjava točnega rojstnega datuma vlagatelja in povezanih oseb, zgolj z letnico rojstva, ne predstavlja anonimizacije osebnih podatkov, pač pa se takšna sprememba podatkov šteje kot psevdonimizacija. V vašem opisanem primeru bi se takšna psevdonimizacija lahko štela le kot eden od zaščitnih ukrepov, s katerim se zagotavlja spoštovanje načela najmanjšega obsega osebnih podatkov, s čimer se ščitijo pravice in svoboščine posameznikov pri obdelavi osebnih podatkov za znanstvenoraziskovalne in statistične namene.

 

Prenos psevdonimiziranih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev na … ter predviden način zunanje obdelave osebnih s strani … bi bil lahko dopusten le pod pogojem, da MDDSZ z …. sklene pisno pogodbo o obdelavi osebnih podatkov, ki mora vsebovati vse elemente iz tretjega odstavka člena 28 Splošne uredbe.

 

 

O b r a z l o ž i t e v:

 

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov. V mnenju lahko zato poda zgolj splošna pojasnila, ne more pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev in obdelovalcev ter ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

Določbe 49., 50. in 52. člena ZUPJS se z vidika določb člena 6 Splošne uredbe ter 8. in 9. člena ZVOP-1 štejejo kot pravna podlaga, ki MDDSZ pooblašča za vzpostavitev in vodenje centralne zbirke podatkov o pravicah iz javnih sredstev. MDDSZ in centri za socialno delo lahko skladno z določbami 52. člena ZUPJS osebne podatke, ki se vodijo v centralni zbirki podatkov iz 49. člena tega zakona, in podatke, ki jih pridobivajo od upravljavcev zbirk osebnih podatkov iz prejšnjega člena, obdelujejo samo za potrebe postopka odločanja in vodenja zbirk podatkov po tem zakonu, ministrstvo pa tudi za potrebe izvajanja centralnega izplačila, izvrševanja nadzora, spremljanja stanja, za analize ter znanstvenoraziskovalne in statistične namene. Drugim uporabnikom se lahko osebni podatki iz centralne zbirke podatkov o pravicah iz javnih sredstev posredujejo le v primeru, če tako določa ZUPJS (50. člen) ali kakšen drug zakon.

 

Splošna uredba v členu 4 opredeljuje pojme, kot so obdelava, upravljavec, obdelovalec, uporabnik in psevdominizacija. »Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (točka 2). „Upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (točka 7). „Obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (točka 8). „Uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave (točka 9). „Psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.

 

ZVOP-1 v 18. točki 6. člena določa, da je anonimizacija takšna sprememba oblike osebnih podatkov, da jih ni več mogoče povezati s posameznikom ali je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa. Delovna skupina za varstvo podatkov iz člena 29 Direktive 95/46/ES (neodvisen svetovalni organ za področje varstva podatkov in zasebnosti, ki so ga sestavljali predstavniki nacionalnih organov za varstvo osebnih podatkov držav članic EU) pa je v Mnenju št. 5/2014 o anonimizacijskih tehnikah navedla, da je anonimizacija rezultat obdelave osebnih podatkov za nepreklicno preprečitev identifikacije oziroma da morajo biti anonimizirani podatki takšni, da posameznika, na katerega se nanašajo, ni več mogoče določiti. Pri tem je treba upoštevati več elementov, med drugim vsa sredstva, za katera se pričakuje, da jih bo za določitev uporabil upravljavec ali katerakoli tretja oseba. Rezultat anonimizacije kot tehnike bi glede na trenutno stanje tehnologije moral biti tako trajen, kot je izbris, tj. da ne omogoča obdelave osebnih podatkov.

 

Iz zgoraj citiranih pojmov iz ZVOP-1 in Splošne uredbe izhaja, da v primeru spremembe osebnih podatkov na način, da se EMŠO posameznika nadomesti z negovorečim ID in zamenjava točnega rojstnega datuma vlagatelja in povezanih oseb, zgolj z letnico rojstva, ne predstavlja anonimizacije osebnih podatkov, pač pa obdelava osebnih podatkov na takšen dejansko pomeni psevdonimizacijo osebnih podatkov. Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, je treba po uvodni določbi št. 26 Splošne uredbe obravnavati kot informacije o določljivem posamezniku, pri čemer je treba pri ugotavljanju, ali je posameznik določljiv, upoštevati vsa sredstva, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika.

 

Opisana psevdonimizacija osebnih podatkov se torej šteje le kot eden od zaščitnih ukrepov iz člena 89 Splošne uredbe, s katerim se zagotavlja spoštovanje načela najmanjšega obsega osebnih podatkov in s tem se ščitijo pravice in svoboščine posameznikov pri obdelavi osebnih podatkov za znanstvenoraziskovalne in statistične namene.

 

Obdelava osebnih podatkov za znanstveno ali zgodovinskoraziskovalne namene ali statistične namene se po uvodni določbi št. 156 Splošne uredbe šteje za dopustno, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov).

 

Splošna uredba ureditev obdelave osebnih podatkov za namene arhiviranja v javnem interesu ter obdelavo znanstveno ali zgodovinskoraziskovalne namene ali statistične namene prepušča državam članicam, ki morajo zagotoviti tudi ustrezne zaščitne ukrepe, kot to določa člen 89 Splošne uredbe.   Obdelavo osebnih podatkov za zgodovinsko, statistično in znanstveno raziskovalne namene zdaj ureja 17. člen ZVOP-1, po katerem MDDSZ lahko kot upravljavec osebne podatke iz centralne zbirke podatkov o pravicah iz javnih sredstev za namene spremljanja stanja, za analize ter znanstvenoraziskovalne in statistične namene ob izvajanju zaščitnih ukrepov izvaja samo, drugim uporabnikom pa lahko osebne podatke za te namene v neanonimizirani ali psevdonimizirani obliki posreduje le v primeru, če to določa zakon. Kot že nakazano, se določbe 49., 50. in 52. člena ZUPJS z vidika določb člena 6 Splošne uredbe ter 8., 9. in 17. člena ZVOP-1 ne štejejo kot pravna podlaga, ki bi dopuščala prenos oziroma posredovanje neanonimiziranih ali psevodnimiziranih osebnih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev v obdelavo na …, prav tako pa takšnega prenosa oziroma posredovanja osebnih podatkov ne določa tudi noben drug zakon. Prenos psevdonimiziranih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev na … ter predviden način in zunanje obdelave osebnih s strani … bi bil tako ob upoštevanju določb Splošne uredbe in ZVOP-1 dopusten le pod pogojem, da MDDSZ spremljanje stanja, izvajanje analiz ter obdelavo osebnih podatkov za znanstvenoraziskovalne in statistične namene s pogodbo zaupa …, ki bi se v tem primeru štel kot (pogodbeni) obdelovalec.

 

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. Obdelovalec lahko osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene, pri čemer pravna podlaga za obdelavo osebnih podatkov izhaja iz upravičenj upravljavca, zaradi česar  morajo biti dejanja obdelave vezana na navodila upravljavca.

 

Razmerje med upravljavcem in obdelovalcem ureja člen 28 Splošne uredbe, ki v tretjem odstavku določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

Namen 28. člena Splošne uredbe je ureditev razmerja med upravljavcem in obdelovalcem ter zagotavljanje skladnosti obdelave osebnih podatkov z določbami Splošne uredbe, zaradi česar mora pravni akt vsebovati vse zgoraj navedene elemente iz tretjega odstavka člena 28 Splošne uredbe, lahko pa seveda vsebuje tudi dodatne elemente v zvezi s konkretno obdelavo osebnih podatkov.

 

Prenos psevdonimiziranih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev na … ter predviden način in zunanje obdelave osebnih s strani … bi bil tako ob upoštevanju določb Splošne uredbe in ZVOP-1 dopusten pod pogojem, da MDDSZ spremljanja stanja, izvajanje analiz ter obdelavo osebnih podatkov za znanstvenoraziskovalne in statistične namene s pogodbo zaupa … ter s tem namenom z … sklene pisno pogodbo o obdelavi osebnih podatkov, ki mora vsebovati vse elemente iz tretjega odstavka člena 28 Splošne uredbe. IP v zvezi s tem opozarja, da priloženi osnutek Pogodbe o zagotovitvi podatkov za potrebe razvoja, vzdrževanja in uporabe mikrosimulacijskih modelov davkov in socialnih transferjev, pokojninskega sistema in trga dela ter za potrebe analiz trga dela in pokojninskega sistema, ne zadosti zahtevam iz tretjega odstavka člena 28 Splošne uredbe.

 

 

V upanju, da vam bo naše neobvezno mnenje lahko v pomoč, vas lepo pozdravljamo.

 

 

Pripravil:

 

Jože Bogataj,

namestnik informacijske pooblaščenke

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka