Biometrična identifikacija

Datum

14.06.2023

Številka

07121-1/2023/803

Kategorije

Biometrija, Potrjevanje - Certifikacija

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede določb ZPPDFT-2 in obdelave biometričnih osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da določbe ZPPDFT-2 dajejo pravno podlago za obdelavo biometričnih osebnih podatkov le v navedenih točno določenih primerih in ne predstavljajo pravne podlage za obdelavo biometričnih podatkov v vsakem postopku ugotavljanja istovetnosti stranke.

Iz določbe drugega odstavka 83. člena ZVOP-2 izhaja možnost, da se v zasebnem sektorju biometrični osebni podatki za namen varstva točnosti identitete strank pod pogoji iz tega člena izvajajo tudi na podlagi izrecne privolitve posameznika (stranke).

IP v okviru neobvezujočega mnenja ne more presojati, ali bodo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank.

IP posebej opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2. Potrjevanje bodo izvajala telesa, ki jih bo na podlagi njihove vloge za to akreditiral nacionalni akreditacijski organ (Slovenska akreditacija).

Oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, mora pred začetkom obdelave posredovati nadzornemu organu (IP) opis nameravanih obdelav in razloge za njihovo uvedbo. Osebi zasebnega sektorja ni treba pridobiti odločbe nadzornega organa, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku 83. člena ZVOP-2.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem ali drugem upravnem postopku. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na samem upravljavcu osebnih podatkov.

IP uvodoma pojasnjuje, da Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22, 145/22; v nadaljevanju: ZPPDFT-2) ugotavljanje in preverjanje istovetnosti strank podrobneje ureja v členih 29-34, v 35. členu pa nato določa še, da poleg načinov ugotavljanja in preverjanja istovetnosti strank, določenih v 32., 33. in 34. členu ZPPFDT-2, lahko zavezanec ugotovi in preveri istovetnost stranke, ki je fizična oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, zakonitega zastopnika ali pooblaščenca stranke tudi z uporabo drugih ustrezno varnih daljinsko upravljanih ali elektronskih postopkov ter načinov za identifikacijo, če so hkrati izpolnjeni določeni pogoji. Eden od teh pogojev (skupaj gre sicer za štiri pogoje) je tudi ta, da se istovetnost stranke, zakonitega zastopnika oziroma pooblaščenca ugotovi in preveri izključno na podlagi uradnega osebnega dokumenta, opremljenega s fotografijo, s katere je jasno prepoznavna slika obraza stranke, v katerem so navedeni podatki vsaj o njenem osebnem imenu in datumu rojstva. IP nadalje pojasnjuje, da ZPPDFT-2 obdelavo biometričnih osebnih podatkov izrecno določa le, kadar gre za posebne primere ugotavljanja istovetnosti stranke. Gre za primere, ki so določeni v 38. členu ZPPDFT-2 in se nanašajo na vsakokratni pristop stranke k sefu. IP tako meni, da določbe ZPPDFT-2 dajejo pravno podlago za obdelavo biometričnih osebnih podatkov le v navedenih točno določenih primerih in ne predstavljajo pravne podlage za obdelavo biometričnih podatkov v vsakem postopku ugotavljanja istovetnosti stranke. Pri morebitnem izvajanju obdelave biometričnih osebnih podatkov v zasebnem sektorju je tako treba upoštevati določbe 83. člena ZVOP-2.

IP nadalje pojasnjuje, da ZVOP-2 v prvem odstavku 83. člena določa, da se obdelava biometričnih osebnih podatkov v zasebnem sektorju lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2. V skladu z drugim odstavkom istega člena oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa drug zakon, če to posebej določa pogodba ali so stranke dale izrecno privolitev. IP pojasnjuje, da so navedeni pogoji alternativni in tako iz navedene določbe izhaja možnost, da se v zasebnem sektorju biometrični osebni podatki za namen varstva točnosti identitete strank pod pogoji iz tega člena izvajajo tudi na podlagi izrecne privolitve posameznika (stranke). Drugi odstavek 83. člena ZVOP-2 določa še, da kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov. Tretji odstavek 83. člena ZVOP-2 pa določa, da se sme obdelava biometričnih osebnih podatkov v zasebnem sektorju izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.

IP splošno pojasnjuje, da obstajajo tudi programske rešitve, ki delujejo na način, da se primerjava obraza izvede izključno na (mobilni) napravi v lasti posameznika, in sicer tako, da ne upravljavci ne njihovi ponudniki programskih rešitev (pogodbeni obdelovalci) ne vidijo, ne shranijo in ne obdelajo podobe obraza posameznika, temveč se po lokalno izvedeni primerjavi med obrazom na dokumentu in obrazom iz videa, ki ga posname posameznik (t.i. selfie video) upravljavcu posreduje zgolj podatek o tem, ali gre za pravega posameznika ali ne (ujemanje/ni ujemanja). V tem primeru ne pri upravljavcu ne pri njegovih pogodbenih izvajalcih ne pride do vzpostavitve zbirke osebnih podatkov, saj se primerjava obrazov in s tem obdelava osebnih podatkov izvede izključno na napravi posameznika. Gre sicer za obdelavo osebnih podatkov posameznika, a pod nadzorom posameznika.

IP ponavlja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru in tako ne more presojati, ali bi šlo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, za dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank. V zvezi s tem IP nadalje pojasnjuje, da je IP v prenovljenih smernicah o biometriji že pojasnil, da iz obrazložitve predloga ZVOP-2 ni razbrati dodatnih pojasnil, kako tolmačiti, kdaj so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, vendar pa je treba tendenco zakonodajalca razumeti v smislu spodbujanja načela vgrajenega in privzetega varstva osebnih podatkov[1] iz 25. člena Splošne uredbe. Skladno s tem načelom je treba zagotoviti, da se zakonite cilje dosega na način, ki kar najmanj posega v zasebnost posameznikov – eden od takšnih prijemov je tudi izogibanje centralizirani hrambi osebnih podatkov in uveljavljanje močnejšega nadzora posameznika nad lastnimi osebnimi podatki, kot npr. na način, da se biometrični podatki ne hranijo v centraliziranih zbirkah in sistemih pri upravljavcu ali obdelovalcu, temveč na medijih ali napravah, ki so pod nadzorom posameznika (npr. mobilni telefon, osebni računalnik, USB ključki, kartice in podobno). V takšnih primerih se lahko preverjanje biometričnih značilnosti izvede na sami napravi posameznika in se upravljavcu sploh ne posredujejo biometrični podatki, temveč zgolj rezultat preverjanja (npr. »gre za pravo osebo/ne gre za pravo osebo«) in se ji posledično dovoli dostop do določenih sistemov oziroma se tako preveri/potrdi njena identiteta. Pri tem upravljavec ne zbere in ne shrani posameznikovih biometričnih podatkov, temveč zgolj rezultat preverjanja, ki se, kot rečeno, izvede »pod izključnim nadzorom ali izključno oblastjo« posameznika. ZVOP-2 za takšne primere implementacije biometrije omogoča določene olajševalne okoliščine za zavezance, zlasti v luči tega, da v tem primeru ni treba pridobiti predhodne pozitivne odločbe IP (ta izjema velja zgolj za zasebni sektor).

Ob tem pa IP posebej znova opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2. IP pojasnjuje, da potrjevanje obdelave biometričnih podatkov ni v pristojnosti IP, ampak to v skladu s prvim odstavkom 52. člena ZVOP-2 izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (Slovenska akreditacija). Ob tem IP dodatno pojasnjuje, da prehodna določba 121. člena ZVOP-2 določa, da Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024. Do začetka izvajanja postopkov akreditacije po ZVOP-2 se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, skladna z merili iz mehanizma potrjevanja. Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena ZVOP-2 vložijo v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena ZVOP-2 (torej v roku šestih mescev od 1. 1. 2024). Obdelave, za katere je bila v tem roku dana vloga za akreditacijo (tu po mnenju IP ZVOP-2 sicer napačno uporabi izraz »akreditacija« in ima v mislih »potrjevanje«), se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024. Potrjevalni mehanizmi so sicer trenutno v pripravi in tako še niso bili objavljeni.

IP pojasnjuje še, da mora v skladu s petim odstavkom 83. člena ZVOP-2 oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posredovati nadzornemu organu (IP) opis nameravanih obdelav in razloge za njihovo uvedbo. Nadzorni organ po prejemu teh informacij v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca. Ob tem IP ponovno opominja, da osebi zasebnega sektorja ni treba pridobiti odločbe nadzornega organa, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku 83. člena ZVOP-2, torej če so dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.

IP sklepno pojasnjuje, da vse navedeno v prejšnjih odstavkih tega mnenja velja tudi, v kolikor bi bila dejanja obdelave biometričnih osebnih podatkov prepuščena tretjemu izvajalcu. Seveda pa je v tem primeru treba zagotoviti tudi spoštovanje zadevnih določb Splošne uredbe, ki urejajo odnos med upravljalcem in pogodbenim obdelovalcem (še posebej določbo 28. člena). IP ob tem pojasnjuje še, da glede na samo dikcijo ZVOP-2 (»dejanja obdelave«) ter generalno usmeritvijo Splošne uredbe (EDPB: Smernice št. 1/2018 o certificiranju in opredelitvi meril za certificiranje v skladu s členoma 42 in 43 Uredbe[2]) po tem, da se po Splošni uredbi praviloma certificirajo procesi obdelave osebnih podatkov (v konkretnih kontekstih, pri konkretnih uporabah in obdelavah osebnih podatkov, ki se ob isti tehnološki rešitvi lahko zelo razlikujejo) in ne zgolj in samo rešitve ali produkti, neodvisno od konteksta, meni, da mora potrjevanje (ko bo to na voljo oziroma glede na prehodne določbe 121. člena ZVOP-2) opraviti upravljavec osebnih podatkov (torej ne morebitni tretji izvajalec/pogodbeni obdelovalec kot ponudnik rešitve, ampak konkretni upravljavec, ki bo z njeno pomočjo obdeloval osebne podatke svojih strank). Na to nakazuje tudi samo besedilo določbe 121. člena ZVOP-2, ki govori o upravljavcu oziroma obdelovalcu.

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka

---

[1]Glej npr. Information and Privacy Commissioner for Canada: Privacy by Design; dostopno na: https://www.ipc.on.ca/wp-content/uploads/Resources/PrivacybyDesignBook.pdf (str. 109)

[2]https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_en