Merjenje dosega oglasov na tovornjakih

Datum

17.02.2025

Številka

07121-1/2025/172

Kategorije

Definicija OP, Ocene učinkov v zvezi z varstvom podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede skladnosti uporabe naprave, ki prek Bluetooth in Wi-Fi signalov meri število naprav v svoji bližini, s čimer omogoča oceno potencialnega dosega oglasov na tovornjakih, s predpisi s področja varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

Podatke o bluetooth identifikatorjih oziroma MAC naslovih mobilnih naprav, ki jih uporabljajo posamezniki, je treba obravnavati kot osebne podatke, kar pomeni, da mora njihova obdelava potekati skladno z določbami Splošne uredbe in drugih predpisov s področja varstva osebnih podatkov.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba.

Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP uvodoma pojasnjuje, da osebni podatki predstavljajo skladno s členom 4(1) Splošne uredbe katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Podatke o bluetooth identifikatorjih oziroma MAC naslovih mobilnih naprav, ki jih uporabljajo posamezniki, je treba obravnavati kot osebne podatke, kar pomeni, da mora njihova obdelava (npr. zbiranje, agregiranje/segmentiranje, brisanje, anonimizacija) potekati skladno z določbami Splošne uredbe in drugih predpisov s področja varstva osebnih podatkov. Navedeno je razvidno tudi iz (vsaj naslednjih) stališč Evropskega odbora za varstvo osebnih podatkov (EDPB) ter mednarodne delovne skupine za varstvo osebnih podatkov in tehnologijah (IWGDPT):

·         EDPB: Smernice 01/2020 o obdelavi osebnih podatkov v okviru povezanih vozil in aplikacij, povezanih z mobilnostjo (glej npr. točko 34; dostopno na: https://edpb.europa.eu/system/files/2021-08/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_sl.pdf);

·         EDPB: Mnenje št. 5/2019 o medsebojnem vplivu Direktive o zasebnosti in elektronskih komunikacijah ter Splošne uredbe o varstvu podatkov, zlasti v zvezi s pristojnostmi, nalogami in pooblastili organov za varstvo podatkov (dostopno na: https://edpb.europa.eu/sites/default/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_sl.pdf)M

·         EDPB: Smernice št. 04/2020 o uporabi lokacijskih podatkov in orodij za sledenje stikom v okviru izbruha COVID-19 (gre za mobilne aplikacije, ki temeljijo na tehnologiji bluetooth; dostopno na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_sl_0.pdf);

·         IWGDPT: Working Paper on Wide Area Location Tracking (dostopno na: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/working-paper/2018/2018-IWGDPT-Working_Paper_Wide_Area_Location_Tracking.pdf).

Pri uporabi rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, gre nedvomno za zajem omenjenih identifikatorjev, posredno tudi za zajem podatkov o lokaciji posameznikov, in s tem osebnih podatkov, ki se nato (sicer hitro) agregirajo in anonimizirajo. Samo dejstvo, da se to zgodi skoraj v realnem času oziroma zelo hitro, ne more izničiti dejstva, da gre za obdelavo osebnih podatkov in da je zato treba spoštovati določbe Splošne uredbe. Obdelava osebnih podatkov namreč glede na določbe druge točke 4. člena Splošne uredbe pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje; vsaj odebeljeno označene aktivnosti se izvedejo v okviru zadevnega sistema. Sprotna in ustrezno izvedena agregacija oziroma anonimizacija je sicer eden najbolj učinkovitih zaščitnih ukrepov oziroma varovalk pri obdelavi osebnih podatkov, kljub temu pa to ne pomeni, da zaradi izvedbe tega ukrepa ni treba spoštovati vseh pravil s področja varstva osebnih podatkov.

IP tako splošno pojasnjuje, da mora upravljavec (v konkretnem primeru tisti, ki želi opisano rešitev uporabljati) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)   obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)   obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)   obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Ob verjetni odsotnosti učinkovite možnosti pridobivanja privolitev posameznika in odsotnosti zakonske ureditve področja obdelav osebnih podatkov, ki jih opisujete v vašem zaprosilu za mnenje, bi bilo verjetno kot pravno podlago eventualno možno uporabiti edino pravno podlago zakonitih interesov (točka 6.1(f)), kjer pa bi bilo predhodno absolutno treba opraviti predhodno oceno zakonitega interesa, v kateri se pošteno in celovito oceni zakonitost interesa uporabnika rešitve, negativne in škodljive vplive na pravice in svoboščine prizadetih posameznikov ter možne varovalke, ki lahko vplivajo na razmerje med zakonitimi interesi in vplivi na posameznika.

IP splošno vsem subjektom, ki razmišljajo o uvedbi podobnih rešitev, kot jo opisujete v vašem zaprosilu za mnenje, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana rešitev zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. Glede na navedbe v vašem zaprosilu za mnenje IP meni, da je vsekakor verjetno, da bi ob uvedbi konkretne rešitve lahko bili izpolnjeni najmanj kriteriji iz točke 8 (inovativna uporaba novih tehnologij), lahko pa tudi (vsaj) še iz točke 3 (sistematičen nadzor nad posameznikom brez njegovega zavedanja) navedenega seznama. IP tako meni, da bi v konkretnem primeru najverjetneje šlo za rešitev, ki ima pomembne posledice na varstvo osebnih podatkov posameznikov, zato je glede na določbe Splošne uredbe potrebno, da se pred implementacijo rešitve opravi ustrezna ocena učinka na varstvo osebnih podatkov. IP močno odsvetuje implementacijo podobnih rešitev brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov.

Več informacij o sami izdelavi ocene učinka je na voljo v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

IP poudarja, da mora upravljavec pri uvedbi tovrstnih rešitev zagotoviti skladnost s Splošno uredbo, ter tako poleg ustrezne pravne podlage upoštevati tudi načela Splošne uredbe, predvsem že zgoraj omenjeno načelo najmanjšega obsega podatkov. Upravljavec mora nadalje tudi presoditi, ali je uporaba rešitve v dane namene primerna in sorazmerna ter opraviti predhodno presojo, ali je mogoče uporabiti alternativno možnost, ki manj posega v zasebnost posameznikov. Pred uvedbo konkretne rešitve je upravljavec v skladu z zahtevami 13. člena Splošne uredbe dolžan posameznike seznaniti z rešitvijo, namenom in načinom njene uvedbe, njenim delovanjem ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov

Upravljavec mora ob tem poskrbeti tudi za ustrezno varnost uporabe rešitve (s t.i. tehnično-organizacijskimi ukrepi za zagotavljanje varnosti osebnih podatkov). IP ob tem ponovno opozarja, da bi upravljavec pred uvedbo rešitve po vsej verjetnosti moral opraviti tudi oceno učinka, skladno s 35. členom Splošne uredbe. Kvalitetno izdelana ocena učinka bo podala odgovore na številna vprašanja v zvezi z uvedbo rešitve in omogočila odločitev o (ne)dopustnosti uvedbe tega ukrepa oziroma morebitnih potrebnih prilagoditvah pred njegovo uvedbo. IP svetuje tudi, da se v okviru ocene učinka temeljito opišejo in ocenijo vsi vidiki obdelave osebnih podatkov.

Glede prenosa osebnih podatkov v tretje države (v konkretnem primeru ZDA) IP uvodoma izpostavlja, da je v skladu z načelom odgovornosti upravljavec tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, kar vključuje tudi zagotavljanje zakonitosti prenosov osebnih podatkov v tretje države. Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

IP vas napotuje na že izdano mnenje, ki je objavljeno na spletni strani IP:

https://www.ip-rs.si/mnenja-zvop-2/prenos-osebnih-podatkov-v-zda-1727941277

Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.6.pdf

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati primernosti namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Prav tako IP v okviru neobvezujočega mnenja ne more presojati, ali je uporaba konkretne rešitve skladna s predpisi s področja varstva osebnih podatkov, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka