- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Potrjevanje obdelav biometričnih OP
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Potrjevanje obdelav biometričnih OP
Datum
05.02.2024
Številka
07121-1/2024/128
Kategorije
Biometrija, Potrjevanje - Certifikacija
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede izvajanja biometrijskih ukrepov v zasebnem sektorju.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju morajo biti potrjena v skladu z 52. členom ZVOP-2.
Potrjevanje izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (Slovenska akreditacija).
Obrazložitev
IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na samem upravljavcu osebnih podatkov.
IP pojasnjuje, da ZVOP-2 v prvem odstavku 83. člena določa, da se obdelava biometričnih osebnih podatkov v zasebnem sektorju lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2.
V skladu z drugim odstavkom 83. člena ZVOP-2 oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa drug zakon, če to posebej določa pogodba ali so stranke dale izrecno privolitev. IP pojasnjuje, da so navedeni pogoji alternativni. Drugi odstavek 83. člena ZVOP-2 določa še, da kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov.
Tretji odstavek 83. člena ZVOP-2 pa določa, da se sme obdelava biometričnih osebnih podatkov v zasebnem sektorju izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. V zvezi s tem IP nadalje pojasnjuje, da je IP v prenovljenih smernicah o biometriji že pojasnil, da iz obrazložitve predloga ZVOP-2 ni razbrati dodatnih pojasnil, kako tolmačiti, kdaj so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, vendar pa je treba tendenco zakonodajalca razumeti v smislu spodbujanja načela vgrajenega in privzetega varstva osebnih podatkov iz 25. člena Splošne uredbe. Skladno s tem načelom je treba zagotoviti, da se zakonite cilje dosega na način, ki kar najmanj posega v zasebnost posameznikov – eden od takšnih prijemov je tudi izogibanje centralizirani hrambi osebnih podatkov in uveljavljanje močnejšega nadzora posameznika nad lastnimi osebnimi podatki, kot npr. na način, da se biometrični podatki ne hranijo v centraliziranih zbirkah in sistemih pri upravljavcu ali obdelovalcu, temveč na medijih ali napravah, ki so pod nadzorom posameznika (npr. mobilni telefon, osebni računalnik, USB ključki, kartice in podobno). V takšnih primerih se lahko preverjanje biometričnih značilnosti izvede na sami napravi posameznika in se upravljavcu sploh ne posredujejo biometrični podatki, temveč zgolj rezultat preverjanja (npr. »gre za pravo osebo/ne gre za pravo osebo«) in se ji posledično dovoli dostop do določenih sistemov oziroma se tako preveri/potrdi njena identiteta. Pri tem upravljavec ne zbere in ne shrani posameznikovih biometričnih podatkov, temveč zgolj rezultat preverjanja, ki se, kot rečeno, izvede »pod izključnim nadzorom ali izključno oblastjo« posameznika. ZVOP-2 za takšne primere implementacije biometrije omogoča določene olajševalne okoliščine za zavezance, zlasti v luči tega, da v tem primeru ni treba pridobiti predhodne pozitivne odločbe IP (ta izjema velja zgolj za zasebni sektor). Ob tem pa IP posebej znova opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2.
IP na podlagi navedenega pritrjuje vaši navedbi v zaprosilu za mnenje, da vam, v kolikor bi biometrične osebne podatke strank obdelovali v skladu s prejšnjim odstavkom, ni treba pridobiti odločbe IP, morajo pa biti dejanja obdelave potrjena v skladu z 52. členom ZVOP-2. IP ob tem pojasnjuje, da je po njegovem mnenju tukaj prišlo do napačnega sklica v ZVOP-2 in bi bil ustrezen sklic na 53. člen ZVOP-2, ki v prvem odstavku določa, da potrjevanje izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (v nadaljnjem besedilu: Slovenska akreditacija), v skladu z b) točko prvega odstavka 43. člena Splošne uredbe in zakonom, ki ureja akreditacijo. V drugem odstavku 53. člen ZVOP-2 določa, da Slovenska akreditacija izda akreditacijsko listino potrjevalnemu telesu in o tem obvesti nadzorni organ. Zoper izdano akreditacijsko listino pritožba ni dovoljena, dopusten pa je upravni spor.
Posamezni upravljavec iz zasebnega sektorja, ki bi želel obdelovati biometrične osebne podatke, mora torej imeti ta dejanja obdelave potrjena (prejeti ustrezno potrdilo oziroma certifikat). IP poudarja, da potrjevanja ne izvaja Slovenska akreditacija, ampak potrjevalna telesa, ki na podlagi vloge prejmejo akreditacijo s strani Slovenske akreditacije in s tem postanejo akreditirana certifikacijska potrjevalna (certifikacijska) telesa. Akreditacija potrjevalnih teles mora glede na določbo 43. člena Splošne uredbe biti v skladu s standardom EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ (v Republiki Sloveniji je to IP). IP torej oblikuje dodatne zahteve za akreditacijo, ki dopolnjujejo zahteve, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki organov za potrjevanje. Te dodatne zahteve, ki jih oblikuje IP, morajo biti predložene v mnenje Evropskemu odboru za varstvo podatkov (ang. EDPB) v okviru mehanizma za skladnost v skladu s 64. členom Splošne uredbe. IP je ta merila že pripravil in posredoval v mnenje EDPB ter v kratkem pričakuje prejem mnenja. Po potrditvi dodatnih akreditacijskih meril bo IP le-ta posredoval Slovenski akreditaciji, ki bo nato lahko začela izvajati postopke akreditacije potrjevalnih teles.
IP opozarja tudi na prehodno določbo 121. člena ZVOP-2, ki v prvem odstavku določa, da Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024. Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena ZVOP-2 (torej vloge za potrjevanje dejanj obdelave biometričnih osebnih podatkov v zasebnem sektorju) vložijo v roku šestih mesecev po poteku roka iz prvega odstavka tega člena (torej v roku šestih mesecev od 1. 1. 2024). Obdelave, za katere je bila v roku iz prejšnjega stavka dana vloga za akreditacijo (po mnenju IP ima na tem mestu ZVOP-2 v mislih »potrjevanje« in ne »akreditacijo«), se štejejo za skladne z merili iz mehanizma potrjevanja do 31. 12. 2024. Po poteku tega obdobja pa bodo torej dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju morala biti potrjena (certificirana) s strani potrjevalnih teles, ki jih za to akreditira Slovenska akreditacija.
Posamezni zavezanci (v konkretnem primeru vaša družba) mora torej (najkasneje) po poteku obdobja iz prejšnjega odstavka svoja dejanja obdelave biometričnih osebnih podatkov potrditi (certificirati), ne pa akreditirati, kot navajate v vašem zaprosilu za mnenje. Potrjevanje bodo izvajala izključno potrjevalna (certifikacijska) telesa, ki bodo morala biti za to predhodno akreditirana s strani Slovenske akreditacije.
Lepo vas pozdravljamo,
Pripravil
Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka
---
[1]Glej npr. Information and Privacy Commissioner for Canada: Privacy by Design; dostopno na: https://www.ipc.on.ca/wp-content/uploads/Resources/PrivacybyDesignBook.pdf (str. 109)