Obdelava anonimiziranih podatkov

Datum

28.03.2025

Številka

07120-1/2025/138

Kategorije

Anonimizacija/psevdonimizacija, Posredovanje osebnih podatkov, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje, ali je v konkretnem primeru, ko ste za namen preverjanja reprezentativnosti sindikatov, od članic Univerze v Ljubljani pridobili skupno število zaposlenih po posameznih sindikatih (anonimizirani podatki brez osebnih imen ali drugih identifikatorjev), prišlo do kršitve varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

Splošna uredba in pravila varstva osebnih podatkov se uporabljajo le, če se obdelujejo podatki, ki omogočajo neposredno ali posredno določljivost posameznika, torej takrat, ko je iz podatkov mogoče določiti konkretnega posameznika. Če so podatki zgolj agregirani (npr. število članov posameznega sindikata) in iz njih ni mogoče identificirati konkretnega posameznika, ne gre za obdelavo osebnih podatkov in se pravila varstva osebnih podatkov v takem primeru ne uporabljajo.

Obrazložitev:

Informacijski pooblaščenec (v nadaljevanju: IP) uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa zunaj konkretnih nadzornih ali drugih upravnih postopkov dokončno presojati, ali je šlo za kršitev varstva osebnih podatkov v specifičnem primeru. Končna odgovornost za presojo ustreznosti pravne podlage ter zagotavljanje skladnosti z zakonodajo s področja varstva osebnih podatkov je vedno na strani upravljavca; IP pa lahko dokončno presojo opravi le v okviru konkretnega nadzornega postopka.

Iz vaših navedb izhaja, da ste za namen ugotavljanja reprezentativnosti sindikatov in pripravo pogodb o sodelovanju s strani posameznih članic univerze pridobili le število članov posameznega sindikata, torej anonimizirane podatke brez osebnih imen ali delovnih mest, prek katerih bi bilo mogoče določiti ali identificirati posameznike. Članstvo v sindikatu sicer po 9. členu Splošne uredbe velja za posebno vrsto osebnega podatka, ki zahteva posebno varstvo in skrbnost pri obdelavi. V primerih, ko se obdelujejo podatki, ki ne omogočajo povezave z določenim ali določljivim posameznikom (npr. zgolj agregirani podatki o številu članov sindikata – torej, da so posameznik nedoločljivi) in posameznika iz njih ni mogoče neposredno ali posredno identificirati, to pomeni, da v opisanem konkretnem primeru najverjetneje ne gre za obdelavo osebnih podatkov v smislu Splošne uredbe. Posledično se pravila varstva osebnih podatkov pri takšni obdelavi ne uporabljajo.

IP pri tem sklepno poudarja, da je odgovornost upravljavca, da z dolžno skrbnostjo preveri, ali posamezniki na podlagi prejetih podatkov dejansko niso določljivi oziroma ali gre zgolj za psevdonimizirane podatke ali podatke, ki bi lahko ob upoštevanju vseh okoliščin omogočili ponovno identifikacijo posameznika (na primer zaradi izjemno majhnega števila posameznikov v skupini). Presojo o tem, ali konkretna obdelava pomeni obdelavo osebnih podatkov v smislu Splošne uredbe oziroma ali bi razkritje takšnih podatkov lahko predstavljalo kršitev varstva osebnih podatkov, bi lahko IP opravil zgolj v okviru inšpekcijskega ali drugega nadzornega postopka.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil:

Grega Rudolf, mag.

svetovalec pooblaščenca za mednarodne odnose

Dr. Jelena Virant Burnik

informacijska pooblaščenka