- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Vprašanje določljivosti posameznikov pri anketi med zaposlenimi in pravne podlage
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Vprašanje določljivosti posameznikov pri anketi med zaposlenimi in pravne podlage
Datum
31.01.2024
Številka
07120-1/2024/30
Kategorije
Anonimizacija/psevdonimizacija, Definicija OP
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem opisujete anketo OECD, s katero nameravajo meriti delovne pogoje, dobro počutje in zavzetost zaposlenih. Pri tem želijo vključiti socio-demografske podatke, kot so naziv organa, spol, starost, dosežena izobrazba, število let v organu in pozicijo respondenta. Sprašujete se, ali je vprašalnik res anonimen, če je omogočena posredna identifikacija posameznikov, in ali je v takem primeru potrebna privolitev posameznikov ali ne. Tudi sami bi nato želeli od OECD prejeti surove podatke, in sicer brez zgoraj navedenih socio-demografskih podatkov; zanimali bi vas torej samo podatki o organizaciji in notranji organizacijski enoti, pri čemer posredna identifikacija ni možna. Sprašujete nas, ali v tem primeru potrebujete privolitev zaposlenih.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Pri vsakem izvajanju anket, ki naj bi bile domnevno anonimne, je treba natančno razčistiti, ali bo pri tem prišlo do obdelave osebnih podatkov. Četudi je anketa anonimna, a je na podlagi odgovorov podatke mogoče pripisati določeni osebi, se rezultati ankete ne štejejo za anonimizirane in so takšni podatki še zmeraj podvrženi pravilom glede obdelave osebnih podatkov iz Splošne uredbe. Za določljivost posameznika ni pogoj, da mora imeti upravljavec dostop do evidenc, s pomočjo katerih je identifikacija posameznika možna; dovolj je, da imajo tudi drugi upravljavci »ključ« za takšno identifikacijo.
Če natančna analiza pokaže, da dejansko prihaja do obdelave osebnih podatkov (tudi posredno določljivih posameznikov), je treba posledično spoštovati vse določbe Splošne uredbe, od zagotovitve ustrezne pravne podlage, informiranja posameznikov ter zagotavljanja ustrezne varnosti osebnih podatkov in sorodnih določb Splošne uredbe.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
V opisanem primeru je po mnenju IP bistvenega pomena, da se še pred izvedbo ankete nedvoumno ugotovi, ali se bodo obdelovali osebni podatki določenih ali določljivih posameznikov.
Splošna uredba o varstvu podatkov v 1. točki 4. člena opredeljuje pojem osebnega podatka, in sicer ta pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Po mnenju IP iz vašega opisa sledi, da bi bil lahko posameznik z navedbo kombinacije nekaterih socio-demografskih podatkov zlahka določljiv. Ženska direktorica določenega direktorata z magisterijem znanosti in 25 leti delovne dobe, od tega zadnjih 13 let na tem direktoratu, je lahko povsem dovoljšen opis, da se posameznico razlikuje od drugih oseb in s tem ugotovi njeno identiteto. Za takšno posredno določitev posameznika v kontekstu Slovenije morda niti ne bi bilo potrebno pogledati v katero od evidenc, ki jih navajate (na primer kadrovsko evidenco posameznega organa ali bazo zaposlenih MFERAC). Tudi če gre za zbir podatkov posameznikov, ki bi se lahko določili zgolj z vpogledom v navedene evidence, s katerimi OECD sicer ne razpolaga, bi šlo vseeno lahko za osebne podatke določljivih posameznikov. Iz ustaljene prakse IP namreč izhaja, da ni potrebno, da ima »ključ« za določitev posameznikov upravljavec osebnih podatkov (v tem primeru OECD), da govorimo o osebnih podatkih.
Anonimizirani podatki so le tisti podatki, na podlagi katerih ni mogoče (več) določiti posameznika.
IP je v zvezi z izvajanjem anket (v šolskem kontekstu, za katerega pa se zdi, da je precej podoben vašemu opisu) v mnenju št. 07121-1/2023/178 z dne 14. 2. 2023 že zapisal:
»IP nadalje pojasnjuje, da je treba tudi pri izvajanju anket v vsakem konkretnem primeru preveriti oziroma ugotoviti, ali ob tem pride do obdelave osebnih podatkov. Ta presoja je načeloma odvisna od tega, ali rezultati ankete sami zase predstavljajo varovane osebne podatke. To je odvisno od tega, ali so anketna vprašanja oblikovana tako, da se lahko posameznega anketiranca zgolj na podlagi teh podatkov identificira. Podatki o spolu, starosti, razredu, šoli, ki jo učenec obiskuje in podobni podatki namreč lahko precej omejijo krog oseb in lahko pripeljejo tudi do identifikacije posameznika (v konkretnem primeru učenca). IP zato opozarja, da četudi je anketa anonimna, a je na podlagi odgovorov podatke mogoče pripisati določeni osebi, se rezultati ankete ne štejejo za anonimizirane in so takšni podatki še zmeraj podvrženi pravilom glede obdelave osebnih podatkov iz Splošne uredbe. V takem primeru je za njihovo obdelavo treba zagotoviti ustrezno pravno podlago iz prvega odstavka 6. člena Splošne uredbe«.
Iz vašega opisa sledi, da je dvom v resnično »anonimnost« predstavljene ankete upravičen.
IP svetuje, da preden se obrnete na OECD za »surove podatke« vendarle preverite vse okoliščine izvedene ankete. Menimo namreč, da bi bilo črpanje iz »nezakonitih« virov najmanj sporno, četudi bi sami želeli le resnično anonimne podatke. Vprašanje je namreč tudi, kako je zastavljena sama anketa v smislu, da tudi v odgovorih o zadovoljstvu itd. posamezniki morebiti razkrivajo kakšne podrobnosti, na podlagi katerih bi se jih dalo identificirati, četudi od OECD ne bi prejeli določenih socio-demografskih podatkov.
Seveda pa v primeru, ko bi bili odgovori na anketo dejansko popolnoma anonimni, pravne podlage za obdelavo osebnih podatkov po Splošni uredbi ni treba iskati.
Za zaključek lahko torej še enkrat poudarimo, da je treba izredno natančno ugotoviti, ali do obdelave osebnih podatkov prihaja in če da, spoštovati vse določbe Splošne uredbe, od zagotovitve ustrezne pravne podlage, informiranja posameznikov ter zagotavljanja ustrezne varnosti osebnih podatkov in sorodnih določb Splošne uredbe. Pri tem bi si lahko OECD, tako kot vaše ministrstvo, pomagalo tudi z naborom koristnih virov, ki jih pripravlja tudi Evropski odbor za varstvo podatkov (https://edpb.europa.eu/edpb_en).
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravil:
Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov
dr. Jelena Virant Burnik, Informacijska pooblaščenka