- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Uporaba biometrijskih ukrepov pri najemanju prostorov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Uporaba biometrijskih ukrepov pri najemanju prostorov
Datum
13.02.2025
Številka
07121-1/2025/105
Kategorije
Biometrija
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje in sicer glede obdelave biometričnih podatkov. Pojasnili ste, da morajo delavci družbe morajo za potrebe dostopanja do sredstev družbe in s tem za opravljanje svojega dela vsakodnevno vstopati v najemniške prostore delodajalca. Lastnik prostorov dostop omogoča bodisi s ključem ali z odpiranjem vrat s prstnim odtisom. Delavci bi v prostore praviloma vstopali s prstnim odtisom, saj zaradi odsotnosti delavcev na terenu, nalog, ki jih opravljajo, ni mogoče zagotoviti zadostnega števila ključev, ravno tako teh ni mogoče zaupati vsem, saj bi se ključi lahko izgubili, pozabili. Delodajalec mora varovati svoja sredstva, ravno tako lastnik ne more izdati velikega števila ključev. Podatki delavcev – prstni odtis bi bili obdelovani le s strani lastnika prostorov, ne tudi s strani delodajalca. Zanima vas, ali zadostuje, da so delavci o obdelavi obveščeni, da podpišejo izjavo (izrecno soglasje) k obdelavi teh podatkov ter da delodajalec z lastnikom prostorov sklene pogodbo o obdelavi osebnih podatkov. Ali je takšno obdelavo mogoče obravnavati pod tretjim odstavkom 83. člena ZVOP-2, saj delavci lahko, če to resnično želijo, dostopajo tudi s ključem, a je dostop s prstnim odtisom veliko lažji in hitrejši? Kako je v tem primeru s postopkom akreditacije?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je določena obdelava osebnih podatkov zakonita oziroma skladna z zakonodajo o varstvu osebnih podatkov, temveč lahko izven uradnega inšpekcijskega postopka podamo le nezavezujoče mnenje na osnovi informacij, ki in kot so nam bile predstavljene.
IP je na temo biometrijskih ukrepov izdal prenovljene smernice, ki upoštevajo novo ureditev tega področja po ZVOP-2. Smernice so dostopne na:
https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-biometrije-po-zvop-2
Za uporabo biometrijskih ukrepov, kot je preverjanje prstnih odtisov za vstop v poslovne prostore, morajo biti izpolnjeni pogoji, kot jih določa ZVOP-2. Glede na vaš opis situacije je treba najprej ugotoviti, kdo bo upravljavec osebnih podatkov, saj je to subjekt, ki mora izpolniti pogoje za uvedbo biometrijskih ukrepov – pojasnili ste, da naj bi bili podatki delavcev (prstni odtisi) obdelovani le s strani lastnika prostorov, ne tudi s strani delodajalca, torej bo v tem primeru upravljavec osebnih podatkov lastnik prostorov, ki mora izpolniti pogoje po ZVOP-2. Če delodajalec sploh ne bo obdeloval prstnih odtisov posameznikov, potem ni potrebe po sklepanju pogodbe o pogodbeni obdelavi osebnih podatkov, mora pa upravljavec izpolniti vse zahtevane pogoje za uvedbo biometrijskih ukrepov.
Zgolj obvestilo in soglasje posameznikov ne izpolnjuje vseh predpisanih pogojev, temveč mora upravljavec glede na določbe prvega, četrtega, petega, šestega in sedmega odstavka 83. člena ZVOP-2:
· izkazati, da je uporaba biometrijskih ukrepov nujno potrebna za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti,
· dejanja obdelave biometričnih osebnih podatkov potrditi (certificirati[1]) v skladu z 52. členom tega zakona,
· pred začetkom obdelave biometričnih osebnih podatkov posameznike o tem pisno obvestiti,
· pred začetkom obdelave posredovati nadzornemu organu opis nameravanih obdelav in razloge za njihovo uvedbo in pred začetkom obdelave pridobiti pozitivno odločbo[2] nadzornega organa (t.j. IP).
Izvajanje biometrijskih ukrepov po drugem odstavku 83. člena ZVOP-2, zaradi varstva točnosti identitete svojih strank, po naši oceni v tem primeru ne pride v poštev, saj ne gre za stranke, ki bi bile v razmerju s predvidenim upravljavcem (kot npr. komitenti banke, zavarovanci pri zavarovalnici ipd.).
Možnost po tretjem odstavku 83. člena ZVOP-2 pa glede na vaš opis ne pride v poštev, saj je - pogoj za uporabo te izjeme, da upravljavec v nobenem trenutku ne razpolaga s prstnim odtisom ali predlogami prstnega odtisa posameznika, temveč se hramba in primerjanje prstnega odtisa izvajata izključno na napravi, ki je pod izključno oblastjo posameznika, tako da sistem upravljavca prejme le potrditev istovetnosti posameznika, ne pa njegovih biometrijskih podatkov).
Lepo vas pozdravljamo,
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič, namestnik informacijske pooblaščenke
---
[1] V času izdaja tega mnenja postopek potrjevanja po 52. členu ZVOP-2 še ni na voljo.
[2] Možno izjemo glede pridobitve odločbe opredeljuje deveti odstavek 83. člena ZVOP-2.