- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Biometrija po ZVOP-2
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Biometrija po ZVOP-2
Datum
27.02.2023
Številka
07121-1/2023/247
Kategorije
Biometrija
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje, v katerem ste nas prosili za mnenje. Pojasnili ste, da gre za vprašanja vezano za razvoj vaše biometrične rešitve razpoznavanja očesne šarenice glede česar ste že dobili mnenje št. 0712-1/2016/1356. Pri vaši rešitvi je biometrijska značilnost (hash oz. Iris template) shranjena na brezkontaktni RF kartici posameznika in biometrična kamera samo v realnem času izvede avtentikacijo oz. preverjanje istovetnosti 1:1, kjer NE nastaja centralizirana podatkovna zbirka biometrijskih značilnosti, temveč so le-te vedno pod izključnim nadzorom ali izključno oblastjo uporabnika/posameznika/stranke. Glede ureditve biometrije po ZVOP-2 imate naslednja vprašanja.
1.Zanima vas, ali določba 2. odstavka 82. člena v javnem sektorju (če je tako določeno z zakonom) in določba 3. odstavka 83. člena v zasebnem sektorju dovoljujeta IZJEMO, da za vašo biometrično rešitev za avtentikacijo oz preverjanje istovetnosti 1:1, vašemu končnemu kupcu/naročniku (oz. upravljalcu) ne bo več potrebno posredovati nadzornemu organu - Informacijskemu pooblaščencu opis nameravanih ukrepov in razloge za njihovo uvedbo (5. odstavek 83. člena) in da posledično ne bo več potrebno pridobivanje odločbe s strani Informacijskega pooblaščenca ?
2.Zanima vas, ali za zgoraj opisano rešitev avtentikacije 1:1 v javnem in zasebnem sektorju, ni potrebno potrjevanje v skladu z 52. členom in v skladu z 121. členom ZVOP-2 oz. drugače rečeno pridobivanje certifikata pri slovenski akreditaciji?
3.Za splošno rešitev identifikacije oseb 1:N, kjer obstaja tudi centralizirana podatkovna zbirka, vas zanima, ali vlogo za potrjevanje dejanja obdelave biometričnih osebnih podatkov oz. certifikat pri slovenski akreditaciji pridobivate vi kot ponudniki rešitve in je certifikat vezan na vašo rešitev ALI certifikat pridobiva vaš končni kupec/naročnik (oz. upravljalec), ki samostojno skrbi za centralizirano podatkovno zbirko biometričnih osebnih podatkov?
4.Ali je še kaj potrebno, kar niste navedli v zgornjih treh vprašanjih, in morate to upoštevati pri zahtevanih postopkih s strani nadzornega organa.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
ad 1 Za uveljavitev izjeme glede pridobivanja odločbe IP obstajajo kumulativni pogoji - dejanja obdelave podatkov stranke so pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena po 52. členu ZVOP-2 in stranki je omogočeno, da izrecno dovoli obdelavo drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
ad 2 Dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju morajo biti potrjena v skladu z 52. členom ZVOP-2, torej ne glede na to ali gre za primer, ko so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, temveč v vsakem primeru, ko se izvaja biometrija v zasebnem sektorju.
ad 3 Glede tega, kdo mora opraviti potrjevanje, IP glede na samo dikcijo (»dejanja obdelave«) ter generalno usmeritvijo Splošne uredbe po tem, da se po Splošni uredbi praviloma certificirajo procesi obdelave osebnih podatkov (v konkretnih kontekstih, pri konkretnih upravljavcih oziroma obdelovalcih in uporabah ter obdelavah osebnih podatkov, ki se ob isti tehnološki rešitvi zelo razlikujejo) in ne zgolj in samo rešitve ali produkti, ne odvisno od konteksta, meni, da mora potrjevanje opraviti upravljavec oz. obdelovalec (torej vaša stranka in ne vi kot ponudnik rešitve) – na to nakazuje tudi samo besedilo določbe 121. člena, ki govori o upravljavcu oz. obdelovalcu.
ad 4 IP opozarja na možnost, da potrjevanje ne bo možno v primeru pomanjkanja interesa za pridobitev statusa teles za potrjevanje pri nacionalnem akreditacijskem organu. V vsakem primeru pa pride že na podlagi same Splošne uredbe za upravljavce oz. obdelovalce v poštev možnost potrjevanja tovrstnih obdelav pri telesih za potrjevanje, ki so akreditirana v okviru evropskih mehanizmov za skupno potrjevanje v skladu z 42. in 43. členom Splošne uredbe.
Obrazložitev
IP uvodoma pojasnjuje, da smo več o novi ureditvi biometrije pojasnili v smernicah, ki so dostopne na:
https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-biometrije-po-zvop-2
Glede vaših konkretnih vprašanja pa podajamo odgovore v nadaljevanju
ad 1
Po določbi devetega odstavka 83. člena ZVOP-2 osebi zasebnega sektorja ni treba pridobiti odločbe iz šestega odstavka 83. člena ZVOP-2 (t.j. odločbe IP), če se biometrični ukrepi izvajajo na način, kot je določen v tretjem odstavku tega člena, t.j. da so (kumulativni pogoji):
-dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter
-potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in
-je omogočeno stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
Kot smo pojasnili v prenovljenih smernicah o biometriji, iz ZVOP-2 v tretjem odstavku 83. člena in iz obrazložitve predloga ZVOP-2 ni razbrati dodatnih pojasnil, kako tolmačiti, kdaj so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, vendar pa je treba tendenco zakonodajalca razumeti v smislu spodbujanja načela vgrajenega in privzetega varstva osebnih podatkov[1] (25. člen Splošne uredbe). Skladno s tem načelom se skrbi za to, da se zakonite cilje dosega na način, ki kar najmanj posega v zasebnost posameznikov – eden od takšnih prijemov je tudi izogibanje centralizirani hrambi osebnih podatkov in uveljavljanje močnejšega nadzora posameznika nad lastnimi osebnimi podatki, kot npr. na način, da se biometrijski podatki ne hranijo v centraliziranih zbirkah in sistemih pri upravljavcu ali obdelovalcu, temveč na medijih ali napravah, ki so pod nadzorom posameznika (npr. mobilni telefon, osebni računalnik, USB ključki, kartice in podobni mediji, kot tudi sami opisujete). V takšnih primerih se lahko preverjanje biometrijskih značilnosti izvede na sami napravi posameznika in se upravljavcu sploh ne posredujejo biometrični podatki, temveč zgolj rezultat preverjanja (npr. »gre za pravo osebo/ne gre za pravo osebo«) in se ji posledično dovoli dostop do določenih sistemov oziroma se tako preveri/potrdi njena identiteta. Pri tem upravljavec ne zbere in ne shrani posameznikovih biometrijskih podatkov, temveč zgolj rezultat preverjanja, ki se, kot rečeno, izvede »pod izključnim nadzorom ali izključno oblastjo« posameznika. ZVOP-2 za takšne primere implementacije biometrije omogoča določene olajševalne okoliščine za zavezance, zlasti v luči tega, da v tem primeru ni treba pridobiti predhodne pozitivne odločbe Informacijskega pooblaščenca (deveti odstavek 83. člena ZVOP-2). Opozarjamo, da glede na dikcijo devetega odstavka 83. člena ZVOP-2 ta izjema glede pridobivanja odločbe velja zgolj za zasebni sektor.
ad 2
Po mnenju IP je zahteva iz prvega odstavka 83. člena ZVOP-2 nedvoumna in morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2, torej ne glede na to, ali gre primer, ko so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, temveč v vsakem primeru, ko se izvaja biometrija v zasebnem sektorju. Obdelava pod izključnim nadzorom posameznika ob dodatnem pogoj pridobljenega potrdila po 52. členu omogoča (le) uveljavljanje izjeme glede pridobivanja odločbe IP. Nekoliko nerodno je sicer, da je potrjevanje po Splošni uredbi prostovoljno in da to ZVOP-2 v primeru biometrija zahteva kot obveznost, a zahteva ZVOP-2 je vseeno jasna.
ad 3
Glede tega, kdo mora opraviti potrjevanje, IP glede na samo dikcijo ZVOP-2 (»dejanja obdelave«) ter generalno usmeritvijo Splošne uredbe (glej EDPB: Smernice št. 1/2018 o certificiranju in opredelitvi meril za certificiranje v skladu s členoma 42 in 43 Uredbe, dostopno na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_en) po tem, da se po Splošni uredbi praviloma certificirajo procesi obdelave osebnih podatkov (v konkretnih kontekstih, pri konkretnih uporabah in obdelavah osebnih podatkov, ki se ob isti tehnološki rešitvi lahko zelo razlikujejo) in ne zgolj in samo rešitve ali produkti, neodvisno od konteksta, meni, da mora potrjevanje (ko bo to na voljo oz. glede na prehodne določbe po 121. členu ZVOP-2) opraviti upravljavec oz. obdelovalec, če ta uporablja tovrstne ukrepe (torej vaša stranka in ne vi kot ponudnik rešitve). Na to nakazuje tudi samo besedilo določbe 121. člena, ki govori o upravljavcu oz. obdelovalcu.
121. člen ZVOP-2 določa prehodne določbe glede potrjevanja in biometrije. Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024. Do začetka izvajanja postopkov akreditacije po ZVOP-2 se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, skladna z merili iz mehanizma potrjevanja. Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena ZVOP-2 vložijo v roku šestih mesecev po poteku roka iz prvega odstavka tega člena (torej v roku šestih mesecev od 1. 1. 2024). Obdelave, za katere je bila v tem roku dana vloga za akreditacijo (tu po mnenju IP ZVOP-2 sicer napačno uporabi izraz »akreditacija« in ima v mislih »potrjevanje«), se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024.
Glede prehodne določbe po 121. členu ZVOP-2 IP meni, da jo je treba razumeti tako:
-da Slovenska akreditacija utemeljeno potrebuje razumen in sorazmeren rok za vzpostavitev postopkov za izvajanje akreditacije (pri čemer želimo spomniti, da akreditacija pomeni odobritev telesa, da lahko izvaja potrjevanje pri zavezancih);
-da seveda do takrat zavezanci ne bodo mogli opraviti potrjevanja in bi bilo neživljenjsko trditi, da so zato v kršitvi;
-da zavezancem vseeno nalaga, da se na ta vacatio legis ne morejo zanašati v nedogled in da morajo v roku pol leta od 1. 1. 2024 podati vlogo za potrjevanje in jim omogoča, da se najkasneje do 31. 12. 2024 njihova dejanja obdelave štejejo za skladne, po tem pa ne več.
Glede na neposredno uporabo Splošne uredbe in določbe 52. člena ZVOP-2 pa bi bilo glede na jezikovno razlago ZVOP-2 treba po mnenju IP šteti kot veljavno tudi morebitno potrjevanje takih procesov obdelave v okviru evropskih mehanizmov za skupno potrjevanje v skladu z 42. in 43. členom Splošne uredbe.
ad 4
Po mnenju IP ZVOP-2 spregleda eno pomembno, a povsem realno možnost – t.j. da se pri Slovenski akreditaciji (SA) ne bo akreditiral noben organ za potrjevanje, ki bi zavezancem nato po določenih merilih podeljeval potrdila (npr. zaradi previsokih zahtev SA, pomanjkanja finančnega interesa, kadra ali drugih). Posledično v RS ne bo nobenega telesa, ki bi po začetku izvajanja postopkov akreditacije lahko podeljevalo potrdila po 52. členu ZVOP-2 – spomnimo, da SA ni certifikacijski organ oziroma organ za potrjevanje v smislu 42. in 43. člena Splošne uredbe), temveč akreditacijski organ, potrdila oz. certifikate pa izdajajo telesa, ki so prejela akreditacijsko listino SA (organi za potrjevanje), ki predstavlja pooblastilo za podeljevanje potrdil zavezancem, ki izpolnjujejo pogoje oz. merila. Če ne bo akreditiran noben organ za potrjevanje zavezanci po začetku izvajanja postopkov akreditacije, ko se prehodno obdobje iz 121. člena ZVOP-2 zaključi, dejansko ne bodo mogli izpolniti obveznosti, ki jim jih nalaga ZVOP-2. Dodatna posledica je lahko tudi to, da ne bo mogoče uveljavljati izjeme po devetem odstavku glede odločbe IP, saj je pogoj za to izjemo tudi potrjevanje in da zavezanci na splošno ne bodo mogli izpolniti zahteve po potrjevanju po prvem odstavku 83. člena ZVOP-2. Žal omenjeni vidik izhaja iz tega, da je potrjevanje po ZVOP-2 v določenih primerih obvezno, med tem ko je v duhu Splošne uredbe prostovoljno.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravil
mag. Andrej Tomšič, namestnik informacijske pooblaščenke
---
[1]Glej npr. Information and Privacy Commissioner for Canada: Privacy by Design; dostopno na: https://www.ipc.on.ca/wp-content/uploads/Resources/PrivacybyDesignBook.pdf (str. 109)