- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Uporaba biometrije pri digitalnih storitvah
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Uporaba biometrije pri digitalnih storitvah
Datum
30.07.2024
Številka
07121-1/2024/883
Kategorije
Biometrija
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uvedbe biometrijskih ukrepov v zasebnem sektorju.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP v okviru neobvezujočega mnenja ne more presojati, ali bodo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank.
IP posebej opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2.
Obrazložitev
IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku po seznanitvi z vsemi relevantnimi dejstvi in okoliščinami. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na samem upravljavcu osebnih podatkov.
IP pojasnjuje, da ZVOP-2 v prvem odstavku 83. člena določa, da se obdelava biometričnih osebnih podatkov v zasebnem sektorju lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2. V skladu z drugim odstavkom istega člena oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa drug zakon, če to posebej določa pogodba ali so stranke dale izrecno privolitev. IP pojasnjuje, da so navedeni pogoji alternativni in tako iz navedene določbe izhaja možnost, da se v zasebnem sektorju biometrični osebni podatki za namen varstva točnosti identitete strank pod pogoji iz tega člena izvajajo tudi na podlagi pogodbe. Drugi odstavek 83. člena ZVOP-2 določa še, da kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov. Tretji odstavek 83. člena ZVOP-2 pa določa, da se sme obdelava biometričnih osebnih podatkov v zasebnem sektorju izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
IP meni, da določba tretjega odstavka 83. člena ZVOP-2 sicer predstavlja samostojno pravno podlago za obdelavo biometričnih osebnih podatkov in da upravljavec za obdelavo po tretjem odstavku ni dolžan izpolnjevati tudi pogojev iz prvega oziroma drugega odstavka 83. člena ZVOP-2. IP pa ob tem ponavlja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru in tako ne more presojati, ali bodo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank (komitentov). V zvezi s tem IP nadalje pojasnjuje, da je IP v prenovljenih smernicah o biometriji že pojasnil, da iz obrazložitve predloga ZVOP-2 ni razbrati dodatnih pojasnil, kako tolmačiti, kdaj so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, vendar pa je treba tendenco zakonodajalca razumeti v smislu spodbujanja načela vgrajenega in privzetega varstva osebnih podatkov iz 25. člena Splošne uredbe. Skladno s tem načelom je treba zagotoviti, da se zakonite cilje dosega na način, ki kar najmanj posega v zasebnost posameznikov – eden od takšnih prijemov je tudi izogibanje centralizirani hrambi osebnih podatkov in uveljavljanje močnejšega nadzora posameznika nad lastnimi osebnimi podatki, kot npr. na način, da se biometrični podatki ne hranijo v centraliziranih zbirkah in sistemih pri upravljavcu ali obdelovalcu, temveč na medijih ali napravah, ki so pod nadzorom posameznika (npr. mobilni telefon, osebni računalnik, USB ključki, kartice in podobno). V takšnih primerih se lahko preverjanje biometričnih značilnosti izvede na sami napravi posameznika in se upravljavcu sploh ne posredujejo biometrični podatki, temveč zgolj rezultat preverjanja (npr. »gre za pravo osebo/ne gre za pravo osebo«) in se ji posledično dovoli dostop do določenih sistemov oziroma se tako preveri/potrdi njena identiteta. Pri tem upravljavec ne zbere in ne shrani posameznikovih biometričnih podatkov, temveč zgolj rezultat preverjanja, ki se, kot rečeno, izvede »pod izključnim nadzorom ali izključno oblastjo« posameznika. ZVOP-2 za takšne primere implementacije biometrije omogoča določene olajševalne okoliščine za zavezance, zlasti v luči tega, da v tem primeru ni treba pridobiti predhodne pozitivne odločbe IP (ta izjema velja zgolj za zasebni sektor).
IP izpostavlja tudi vprašljivost uvedbe biometrijske avtentikacije kot edine dovoljene v točno določenih (dokaj številnih) primerih, ki jih navajate v vašem zaprosilu za mnenje. IP ob tem poudarja, da se tudi z uvedbo biometrijskih ukrepov namreč ne more v popolnosti onemogočiti zlorab, saj tudi ta sistem, kot vsak drug, ni brez varnostnih tveganj. Tudi biometrijski ukrepi namreč niso v celoti 100-odstotno zanesljivi, saj njihova uporaba pri določenih osebah ni možna (npr. zaradi poškodb ali neizrazitih značilnosti), obenem pa je vsak biometrijski sistem implementiran tako, da omogoča določeno stopnjo neujemanja (t.i. False Acceptance Rate - FAR in False Rejection Rate – FRR). Iz vašega zaprosila za mnenje sicer ni razvidno, katera rešitev (aplikacija) oziroma rešitve bodo dopustne za izvajanje biometrijskih ukrepov in kako se bo preverjal rezultat izvedene biometrijske obdelave.
IP posebej znova opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2. Ob tem IP posebej pojasnjuje, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju vselej potrjena v skladu z 52. členom ZVOP-2, torej ne glede na to, ali gre za primer, ko so dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo, temveč v vsakem primeru, ko se izvaja biometrija v zasebnem sektorju. Obdelava pod izključnim nadzorom posameznika ob dodatnem pogoju pridobljenega potrdila po 52. členu torej omogoča (le) uveljavljanje izjeme glede pridobivanja odločbe IP, ne pa glede potrjevanja dejanj obdelave biometričnih osebnih podatkov.
Ob tem IP pojasnjuje še, da prehodna določba 121. člena ZVOP-2 določa, da Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024. Do začetka izvajanja postopkov akreditacije po ZVOP-2 se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, skladna z merili iz mehanizma potrjevanja. Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena ZVOP-2 vložijo v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena ZVOP-2 (torej v roku šestih mescev od 1. 1. 2024). Obdelave, za katere je bila v tem roku dana vloga za akreditacijo (tu po mnenju IP ZVOP-2 sicer napačno uporabi izraz »akreditacija« in ima v mislih »potrjevanje«), se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024.
Lepo vas pozdravljamo,
Pripravil
Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov
dr. Jelena Virant Burnik, Informacijska pooblaščenka
---
[1]Glej npr. Information and Privacy Commissioner for Canada: Privacy by Design; dostopno na: https://www.ipc.on.ca/wp-content/uploads/Resources/PrivacybyDesignBook.pdf (str. 109)