Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.09.2019
Naslov: Podatki o številki merilnega mesta in določljivosti posameznika
Številka: 0712-1/2019/2109
Vsebina: Definicija OP, Pogodbena obdelava podatkov
Pravni akt: Mnenje

Prejeli smo vaše zaprosilo za mnenje glede podatkov o številki merilnega mesta. Kot ste pojasnili ste elektro distributer, ki  kot upravljavec obdeluje več podatkov o uporabnikih sistema (npr. ime, priimek, naslov uporabnika, davčna št.,…). Kot osebni podatek v povezavi s temi podatki obravnavate tudi št. merilnega mesta (večmestna številka, ki pripada posameznemu odjemnemu mestu električne energije). Z namenom informacijske podpore pri vzpostavitvi računalniškega programa bi morali svojemu izvajalcu poslati tudi številke merilnih mest, ne pa tudi ostalih podatkov o uporabniku sistema-lastniku merilnega mesta. Prosite nas za mnenje, ali se podatki o št. merilnega mesta v takem primeru obravnavajo kot osebni podatek ali pa so za potrebe posredovanja že v zadostni meri anonimizirani, saj izvajalec ne bo mogel dostopati do podatkov o osebnem imenu, naslovu ali davčni številki uporabnika sistema na tem merilnem mestu, ki bi omogočal določiti posameznika, saj zgolj iz številčnega podatka o št. merilnega mesta torej uporabnika po vašem mnenju ni moč določiti).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) vam posredujemo naše neobvezno mnenje v zvezi glede 172. in 173. člena osnutka novega Zakona o letalstvu.

 

Obstoječa nacionalna zakonodaja (ZVOP-1) kakor tudi Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba) bistveno ne spreminja definicije osebnega podatka v smislu, da ključni test ostaja določljivost posameznika. Na določljivost posameznika pa se gleda široko, torej ne samo skozi lastne zmožnosti, namene in interese, temveč se upošteva tudi, ali bi iz podatkov, ki jih vi obdelujete, drugi lahko izvedeli, na koga se nanašajo podatki.

 

Pri tem je zelo pomembno, da se na določljivost gleda na široko, skozi vprašanje »ali se da?« in ne »ali ga lahko mi določimo?«. Treba je upoštevati vsa sredstva, informacije in znanja, ki jih imajo na voljo tudi drugi subjekti, ki bi lahko določili, za katerega posameznika se gre. Na določljivost posameznika se torej gleda na široko in ne zgolj skozi lastne zmožnosti ali skozi zmožnosti enega subjekta, podjetja, organizacije. Če so torej podatki o številki merilnega mesta za vas določljivi v smislu posameznikov, kar so, potem je treba šteti, da so to osebni podatki, torej se tudi posredovanje drugim subjektom šteje za posredovanje osebnih podatkov, razen če bi jih predhodno anonimizirali, kar pa ni isto kot psevdonimizacija. Vašemu izvajalcu boste namreč posredovali psevdonimne osebne podatke, ne pa anonimnih podatkov. Po določbi 5. točke člena 4 Splošne uredbe namreč psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku. Vašemu izvajalcu boste torej posredovali psevdonimizirane osebne podatke in ne surovih in ne anonimiziranih. Anonimizirani podatki so namreč rezultat anonimizacijskih metod in tehnik, zgolj psevdonimizacija (kodiranje, šifriranje in druge pretvorbe podatkov v smislu 1:1 ali odstranitev identifikacijskih oz. kontaktnih  podatkov) pa ne sodi med takšne. Anonimni podatki so npr. povprečja, statistike, deleži, trendi in kot taki za vašega izvajalca neuporabni za zasledovane namene. Več o anonimizaciji je pojasnjeno v mnenju Delovne skupine za varstvo podatkov iz člena 29.

 

Vendar pa navedeno še ne pomeni, da je posredovanje podatkov izvajalcu nedovoljeno, temveč je lahko povsem zakonito ob upoštevanju pogojev, ki jih določa zakonodaja. Vaš izvajalec se namreč, kolikor dela v vašem imenu in za vaš račun, šteje za vašega pogodbenega obdelovalca, s katerim lahko sklenete pogodbo obdelavi, ki mora ustrezati zahtevam 28. člena Splošne uredbe in na tej podlagi mu lahko posredujete potrebne osebne podatke. Če za zasledovane cilje zadošča podatek o št. merilnega mesta, potem je skladno z načelom sorazmernosti primerno, da mu posredujete samo ta osebni podatek in ne drugih podatkov, ki niso nujno potrebni.

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

Pripravil:

mag. Andrej Tomšič, namestnik informacijske pooblaščenke