GDPR parcijalni podatak

[A016]

Pozdrav svima,

imam upit vezano za zakone i odredbe o zaštiti osobnih podataka.

U tijeku je razvoj mobilne aplikacije koja bi služila za prijavu loših i dobrih vozača u prometu. S obzirom da se prijava vrši putem registracijske oznake koja se smatra osobnim podatkom - zanima me jesu li iduće dvije metode dovoljno efikasne da aplikacija bude u skladu sa zakonom:

a) u bazu podataka nigdje se ne bi spremala puna registracija već isključivo s jednom skrivenom znamenkom. Primjerice, ako prijavite vozača koji vozi vozilo s oznakom ZG-0000A, u našu bazu podataka bi se to spremilo kao "ZG-00x0A" ili "ZG-x000A" ili slično.  

b) u bazu podataka bi se također spremao unikatni kriptirani niz znamenki koje bi predstavljale registracijsku oznaku, a da pritom nije moguće iz te "šifre" obrnutim putem dobiti registracijsku oznaku. Primjerice, ako netko prijavi vozača s oznakom ZG-0000A, u bazu podataka bi se spremao niz znakova, za potrebe primjera recimo "x95a5kjn5a3". Iz tog niza znakova je nemoguće dobiti natrag originalnu registracijsku oznaku, pa stoga mislim da to nije kršenje privatnosti.

Cijela poanta unosa oznaka loših/dobrih vozača i spremanja u bazu podataka jest ta da svaki korisnik aplikacije ima pregled top 100 loših/dobrih vozača po broju prijava. Naravno, uz krnju informaciju jer nedostaje jedna znamenka. Također, svaki korisnik bi mogao provjeriti je li njegova registracija zabilježena u sistemu, odnosno, je li netko protiv njega podnio prijavu. Ni u tom slučaju aplikacija nigdje ne sprema punu registracijsku oznaku već uspoređuje kriptirane šifre dobivenu iz unosa korisnika s onim kriptiranim šiframa koje su već spremljene u bazi. 

Nadam se da je dobro objašnjeno... U svakom slučaju - molim za Vaše mišljenje o ovom pitanju - je li kršenje GDPR ako aplikacija u bazi podataka sprema krnje ili jednosmjerno kriptirane informacije?

Zahvaljujem!

[Ruby_Danderfluff]

Nisam sigurna je li registarska oznaka osobni podatak takav podatak iz kojeg se može utvrditi identitet pojedinca. U svakom slučaju, da jest, za prikupljanje i obradu osobnih podataka mora postojati razumna svrha. Kakva je razumna svrha prikupljanja i obrade ovakvih podataka, pa čak i da jesu anonimizirani? (GDPR, doduše, kaže da se anonimizirani podaci, kao što je ovaj, ne smatraju osobnim podacima).

[A016]

Hvala na odgovoru!
Svrha prikupljanja negativnih i pozitivnih prijava jest da sam akter (vozač kojeg je netko prijavio) može vidjeti što drugi imaju za reći o njegovoj vožnji. Naravno, ako instalira aplikaciju. U međuvremenu sam zatražio i mišljenje Agencije za zaštitu osobnih podataka, ali još ne dolazi odgovor.