Mnenje glede psevdonimizacije

Datum

16.06.2026

Številka

3852-2/2026-2337-2

Kategorije

Anonimizacija/psevdonimizacija

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Kot ste pojasnili,

je bila na podlagi novele Zakona o zaščiti živali (Uradni list RS, št. 38/13, uradno prečiščeno besedilo, 21/18 –ZNOrg, 92/20, 159/21, 109/23, 12/25 – odl. US in 60/25) določena tudi ureditev hrambe osebnih podatkov v Centralnem registru hišnih živali (CRHŽ), pri čemer zakon določa, da se po poteku obdobja hrambe osebni podatki anonimizirajo.

V 5.a člen zakona je bil dodan osmi odstavek, ki se glasi:

»Osebni podatki lastnika živali se v centralnem registru hišnih živali hranijo pet let po smrti živali ali 30 let po rojstvu živali, če podatek o smrti živali ni vpisan, nato se anonimizirajo.«.

Pri pripravi tehničnih in organizacijskih rešitev za izvajanje navedene določbe se je pojavilo vprašanje razlage pojma anonimizacije oziroma razmerja med anonimizacijo in psevdonimizacijo za konkretno zbirko podatkov. CRHŽ namreč poleg podatkov o živalih vsebuje tudi podatke o lastnikih oziroma skrbnikih živali, ki se v posameznih primerih uporabljajo v postopkih nadzora, uradnih postopkih ter tudi kot del širših preiskav suma organizirane ilegalne trgovine s psi oziroma drugih kaznivih ravnanj, povezanih z zaščito živali, vključno s sumi mučenja živali. V določenih primerih se povezave med posameznimi osebami, živalmi, premiki živali ali ponavljajočimi se vzorci ravnanja pokažejo šele po daljšem časovnem obdobju. Zaradi navedenega ocenjujete, da popolna in nepovratna anonimizacija vseh podatkov po izteku roka hrambe lahko pomembno zmanjša možnost kasnejšega odkrivanja povezav med posameznimi primeri oziroma oteži izvajanje nadzornih, prekrškovnih ali kazenskih postopkov. Ob tem menite, da bi bila v določenem obsegu ustreznejša rešitev psevdonimizacija podatkov, pri kateri neposredni identifikatorji posameznika niso več razvidni oziroma dostopni brez dodatnih informacij in zaščitnih ukrepov, hkrati pa bi bilo ob izpolnjenih zakonskih pogojih še vedno mogoče vzpostaviti povezavo med posameznimi zapisi.

Prosite nas za pojasnilo:

1.ali se psevdonimizacija osebnih podatkov lahko šteje kot oblika anonimizacije v smislu določbe zakona, ki določa anonimizacijo podatkov po poteku roka hrambe;

2.ali Informacijski pooblaščenec meni, da bi bila ureditev, po kateri se po izteku roka hrambe izvede psevdonimizacija podatkov z zelo omejenim in posebej varovanim dostopom do povezovalnih ključev, skladna z zahtevami varstva osebnih podatkov;

3.katere dodatne zaščitne ukrepe bi Informacijski pooblaščenec priporočal v primeru takšne ureditve.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da Splošna uredba jasno ločuje med pojmoma anonimizacija in psevdonimizacija.

Uvodna določba 26 Splošne uredbe določa, da bi se načela varstva podatkov morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku in s tem za osebne podatke. Skladno z določbo 5. točke 4. člena Splošne uredbe „psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.

Kot smo pojasnili na posebni strani o psevdonimizaciji (https://www.ip-rs.si/go?u=%2Fvarstvo-osebnih-podatkov%2Fklju%25C4%258Dna-podro%25C4%258Dja-uredbe%2Fpsevdonimizacija) psevdonimizacija pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni mogoče pripisati specifičnemu posamezniku. Običajno gre za preslikavo 1:1, s katero osebne podatke pretvorimo v negovoreče kode, šifre oz. psevdonime. Gre lahko za učinkovit ukrep za zagotavljanje minimizacije obdelave podatkov, za varnost podatkov in izkazovanje skladnosti s temeljnimi načeli varstva osebnih podatkov. Psevdonimizacije pa ne smemo enačiti z anonimizacijo osebnih podatkov, saj se psevdonimi še vedno obravnavajo kot osebni podatki -  psevdonimizirane podatke je še vedno mogoče pripisati določljivemu posamezniku, le da je za to potreben dodaten korak.

Anonimizacija pa praviloma temelji na uporabi specifičnih metod in tehnik, s katerimi razosebimo podatke tako, da praviloma nihče več iz njih ne more ugotoviti, na koga se nanašajo. Iz anonimiziranih podatkov posameznik ni ali ni več določljiv. Takšne metode običajno vključujejo statistične obdelave (izračun povprečij, deležev, trendov ipd.) s katerimi iz več osebnih podatkov pridemo do posameznih podatkov), dodajanje šuma, generalizacijo in randomizacijo in druge metode s katerimi dosežemo, da iz podatkov ni več mogoče priti do določenega ali določljivega posameznika. Zgolj brisanje identifikacijskih podatkov pogosto še ne predstavlja anonimizacije, temveč je treba preveriti možnost določljivost posameznika tudi iz preostalih podatkov, konteksta in drugih razpoložljivih informacij. Anonimizacijskih skrivnosti ni oziroma jih je (če so bile uporabljene ustrezne anonimizacijske metode in tehnike) praktično nemogoče ugotoviti. Z anonimiziranimi podatki seveda ne moremo vedno doseči istih ciljev kot s psevdonimiziranimi, številne cilje obdelave pa še vedno lahko učinkovito dosežemo tudi z anonimiziranimi podatki.

Na bistveno razliko med anonimizacijo in psevdonimizacijo opozarjajo tudi smernice Delovne skupine za varstvo podatkov iz člena 29: »Mnenje št. 5/2014 o anonimizacijskih tehnikah« (WP216; 20. 4. 2014), dostopno na:

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf.

V mnenju Delovna skupina za varstvo podatkov iz člena 29 navaja, da »…psevdonimizacija ni anonimizacijska metoda. Z njo se samo zmanjša povezljivost nabora podatkov s prvotno identiteto posameznika, na katerega se nanašajo osebni podatki, zato je to uporaben varnostni ukrep« in dalje: »Psevdonimizacija vključuje nadomestitev enega atributa (običajno edinstvenega atributa) v zapisu z drugim. Posredna določitev fizične osebe je torej še vedno verjetna; zato psevdonimizacija, če se uporabi samostojno, ne pomeni anonimnega nabora podatkov.«

Zakon o zaščiti živali določa, da se po poteku obdobja hrambe osebni podatki anonimizirajo. Ali in kakšno je bilo vodilo zakonodajalca pri tem in ali je prišlo do morebitnega spregleda argumentov, ki bi terjali daljšo hrambo bodisi (»surovih«) osebnih podatkov ali psevdonimiziranih podatkov, ne moremo presojati, je pa zakon dovolj jasen in menimo, da s psevdonimizacijo ob takšni zakonski določbi ne bi zadostili zakonski zahtevi po anonimizaciji podatkov.

Lepo vas pozdravljamo,

dr. Jelena Virant Burnik,

Informacijska pooblaščenka

Pripravil: mag. Andrej Tomšič, namestnik informacijske pooblaščenke