Anonimizacija podatkov za nadaljnjo uporabo v znanstveno raziskovalne namene

Datum

29.12.2023

Številka

07120-1/2023/545

Kategorije

Anonimizacija/psevdonimizacija, Statistika in raziskovanje

Pri Informacijskem pooblaščencu (IP) smo dne 21. 12. 2023 prejeli vaše zaprosilo za mnenje glede ustreznosti tehnik za anonimizacijo osebnih podatkov, ki se bodo obdelovali v okviru raziskovalnega projekta vaše raziskovalne organizacije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. Za določitev posameznika se lahko uporabijo vsa sredstva, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za identifikacijo posameznika. Ni torej nujno, da je posameznik določljiv za upravljavca, temveč so lahko identifikatorji, na podlagi katerih je mogoče identificirati posameznika, v rokah drugih subjektov (upravljavcev) ali pa so razpršeni med različnimi subjekti.

2.2. Odstranitev elementov, ki omogočajo neposredno določitev, sama po sebi na splošno ne zadostuje za zagotovitev, da določitev posameznika, na katerega se nanašajo osebni podatki, ni več mogoča.

3.3. Vpliv tehnološkega napredka na naravo podatkov je manj izrazit, če se hranijo krajše časovno obdobje, medtem ko se možnost spremembe neosebnega (anonimiziranega) v osebni podatek povečuje z daljšanjem obdobja hrambe.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov, vključno z vnaprejšnjo (ex ante) presojo skladnosti določenih tehnik anonimizacije z določbami Splošne uredbe. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

V skladu z definicijo iz 1. točke 4. člena Splošne uredbe je osebni podatek katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Posameznik je določen, če ga je mogoče prepoznati in ločiti od ostalih oseb, določljiv posameznik pa sicer še ni prepoznaven, je pa njegova identifikacija mogoča neposredno ali posredno z uporabo identifikatorjev, na primer osebnih imen, identifikacijskih številk, podatkov o lokaciji, spletnih identifikatorjev, ali okoliščin, ki so značilne za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto posameznika. Za določitev posameznika se lahko uporabijo vsa sredstva, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za identifikacijo posameznika. IP izpostavlja, da za določljivost posameznika ni nujno, da je določljiv za upravljavca, temveč so lahko identifikatorji, na podlagi katerih je mogoče identificirati posameznika, v rokah drugih subjektov (upravljavcev) ali pa so razpršeni med različnimi subjekti.

Ocena razumnosti sredstev mora temeljiti na vseh objektivnih dejavnikih, na primer stroških in času, potrebnem za identifikacijo, namenu obdelave podatkov, pričakovanim ciljem in morebitni konkurenčni prednosti, ki jo takšna obdelava prinaša, ter razpoložljivi tehnologiji in stopnji tehnološkega razvoja. Vpliv tehnološkega napredka na naravo podatkov je manj izrazit, če se hranijo krajše časovno obdobje, medtem ko se možnost spremembe neosebnega (anonimiziranega) v osebni podatek povečuje z daljšanjem obdobja hrambe. Podatki, ki se hranijo več let ali celo desetletij, lahko sčasoma dobijo naravo osebnega podatka, čeprav so se sprva hranili kot anonimizirani podatki, če napredek tehnologije omogoči ponovno identifikacijo prej nedoločljivih posameznikov.

Več o tehnikah anonimizacije si lahko preberete v mnenju Delovne skupine za varstvo podatkov iz člena 29 glede anonimizacijskih tehnik, kjer so opisana vsa tveganja v zvezi z določljivostjo posameznikov:

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf. Med drugim je Delovna skupina iz člena 29 v mnenju jasno izrazila stališče, da »odstranitev elementov, ki omogočajo neposredno določitev, sama po sebi na splošno torej ne zadostuje za zagotovitev, da določitev posameznika, na katerega se nanašajo osebni podatki, ni več mogoča. Pogosto je treba sprejeti dodatne ukrepe za preprečitev določitve, ki so znova odvisni od okoliščin in namenov obdelave, za katero so anonimizirani podatki namenjeni.«

Med anonimizacijske tehnike sodijo na primer povprečja, agregati, trendi in druge statistike, in metode, kot so dodajanje šumov, generalizacije in združevanja podatkov v razrede ter druge metode in tehnike, vsaka s svojimi prednostmi in slabostmi. Zgolj odstranitev neposredno določljivih podatkov, kot so imena in priimki ali EMŠO še ne pomeni, da so preostali podatki s tem anonimizirani. Na to posebej opozarja tudi IP v infografiki o osebnih podatkih (ki je dostopna na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Infografika%20-%20osebni%20podatki.pdf), iz katere je razvidno, da sodijo t. i. transakcijski podatki (na primer podatki o klicih, nakupih, lokacijah oz. v tem primeru podatki o meritvah ŠVK) med najbolj pomembne osebne podatke in osebne podatke z največjo uporabno vrednostjo.

Glede na navedeno IP svetuje, da upravljavec na podlagi vseh okoliščin navedene obdelave podatkov presodi, ali nabor podatkov, ki se obdelujejo, res ne omogoča določitve posameznikov, in v nasprotnem primeru upošteva pravila s področja varstva osebnih podatkov.

Iz zaprosila za mnenje nadalje izhaja, da boste podatke za znanstveno raziskovanje o gibalnih sposobnostih in morfoloških značilnostih učencev pridobivali od osnovnih in srednjih šol. IP zato dodatno pojasnjuje, da ZVOP-2 na novo ureja postopek za pridobivanje osebnih podatkov, ki jih pravne ali fizične osebe zahtevajo od oseb javnega sektorja, in sicer je ta postopek urejen v 39. in 41. členu ZVOP-2, ob upoštevanju 69. člena ZVOP-2, kadar gre za osebne podatke, ki se bodo obdelovali za namen znanstvenega raziskovanja.

Glede vsebine zahteve mora raziskovalna organizacija ali raziskovalec zadostiti pogojem iz drugega ter tretjega odstavka 69. člena ZVOP-2. Zahtevi za dostop do podatkov mora raziskovalna organizacija predložiti opis raziskave, ki vključuje:

1.naslov raziskave in navedbo nosilcev raziskave (za fizične osebe osebno ime, naziv in prebivališče, za pravno osebo pa firmo, matično številko in sedež);

2.podatke o izvajalcih raziskave (osebno ime, naziv, prebivališče, morebitno razmerje do nosilca raziskave in morebitna šifra raziskovalca);

3.namene oziroma cilje raziskave;

4.predvidena sredstva in dejanja obdelave osebnih podatkov, vključno z navedbo etičnih načel in metodologije iz prvega odstavka prejšnjega člena in ukrepi za varnost osebnih podatkov;

5.vrste osebnih podatkov, ki bi jih želeli pridobiti od upravljavca, in kategorije posameznikov, na katere se nanašajo ti podatki;

6.obliko, v kateri želijo prejeti osebne podatke (izvorni osebni podatki, psevdonimizirani osebni podatki, osebni podatki v obliki, ki ne omogoča identifikacije, anonimizirani podatki), in navedbo razloga za določeno obliko podatkov;

7.način objave ali drugačne dostopnosti raziskave (drugi odstavek 69. člena ZVOP-2).

Ob tem opozarjamo na obveznost priprave ocene učinkov predvidenih dejanj obdelave na varstvo osebnih podatkov iz 35. člena Splošne uredbe, ki jo mora upravljavec pripraviti v primerih, v katerih obstaja možnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. V tovrstnih primerih mora raziskovalna organizacija kot upravljavec podatkov pred obdelavo opraviti oceno učinka ter jo predložiti opisu raziskave, ki ga posreduje upravljavcu skupaj z zaprosilom za dostop do podatkov (tretji odstavek 69. člena ZVOP-2).

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka