Dostop do računalnikov s pomočjo obdelave biometričnih OP

Datum

17.12.2024

Številka

07120-1/2024/445

Kategorije

Biometrija, Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede dostopanja zaposlenih do računalnikov s pomočjo prstnega odtisa ali skeniranja obraza.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov, identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku po seznanitvi z vsemi relevantnimi dejstvi in okoliščinami. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na samem upravljavcu osebnih podatkov.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 82. člena določa, da se obdelava biometričnih osebnih podatkov v javnem sektorju lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov, identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi. Drugi odstavek istega člena določa, da je obdelavo biometričnih osebnih podatkov v javnem sektorju izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona na način, ki zagotavlja obdelavo in uporabo teh podatkov posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. Glede na navedbe v vašem zaprosilu za mnenje omenjena izjema v konkretnem primeru po mnenju IP najverjetneje ne pride v poštev.

Peti odstavek 82. člena ZVOP-2 določa, da se v javnem sektorju lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti.

Glede na navedeno IP podaja stališče, da bi za v vašem zaprosilu za mnenje opisano predvideno uporabo biometrijskih ukrepov morala obstajati podlaga v zakonu, ki pa po vedenju IP ne obstaja, obenem pa ne gre za izjemo, ki jo dopušča peti odstavek 82. člen ZVOP-2, saj ne gre za ukrep v zvezi z vstopom v stavbo ali dele stavbe. Ob tem IP dodaja, da je opisani namen obdelave biometričnih osebnih podatkov sicer najverjetneje povsem legitimen, vendar pa zakonodaja trenutno torej ne dovoljuje tovrstne uporabe biometrijskih ukrepov v javnem sektorju. Popolnoma logično in razumljivo je sicer, da morajo biti določene delovne postaje ustrezno zavarovane, obenem pa mora biti do njih omogočen hiter dostop v nujnih primerih, kar lahko vnos kompleksnih gesel v posebnem delu oteži oziroma podaljša čas dostopa. Ob predstavljeni relativno strogi ureditvi pogojev za uporabo biometrijskih ukrepov v javnem sektorju je zato morda na mestu premislek o možnih drugih ukrepih, ki ne vključujejo biometrijskih ukrepov (npr. odklepanje računalnikov s pomočjo kartic), kljub temu pa predstavljajo hitre, a obenem še vedno varne načine avtentikacije uporabnikov.

IP nadalje pojasnjuje, da je že sam zakonodajalec prepoznal številna potencialna tveganja v zvezi z obdelavo biometričnih osebnih podatkov in jo zato relativno strogo (še posebej to velja za javni sektor) tudi uredil. IP ob tem dodaja, da je pri uvajanju biometrijskih ukrepov treba upoštevati, da njihovo izvajanje predstavlja večji poseg v informacijsko zasebnost posameznika, saj gre za obdelavo tistih značilnosti posameznika, ki so edinstvene in stalne za vsakega posameznika posebej in zloraba katerih bi imela za posameznika lahko hude, daljnosežne in nepopravljive posledice. Za razliko od drugih načinov avtentikacije oziroma identifikacije, kjer je možna relativno enostavna menjava in pridobitev novega znaka (brezkontaktna kartica, ključ, geslo, PIN, …), je menjava biometrijskih značilnosti (prstni odtisi, mrežnica, šarenica, obraz, …) praktično nemogoča. Zloraba biometrijskih značilnosti, ki so stalne in edinstvene za posameznika, ima lahko tako za posameznika trajne posledice, kar ne velja za druge metode avtentikacije oziroma identifikacije, zato je zakonodajalec uvedbo biometrijskih ukrepov omejil na točno določene okoliščine.

IP sklepno poudarja še, da se tudi z uvedbo biometrijskih ukrepov ne more v popolnosti onemogočiti zlorab, saj tudi ta sistem, kot vsak drug, ni brez varnostnih tveganj. Tudi biometrijski ukrepi namreč niso v celoti 100-odstotno zanesljivi, saj njihova uporaba pri določenih osebah ni možna (npr. zaradi poškodb ali neizrazitih značilnosti), obenem pa je vsak biometrijski sistem implementiran tako, da omogoča določeno stopnjo neujemanja (t.i. False Acceptance Rate - FAR in False Rejection Rate – FRR).

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka