Uvedba biometrijskih ukrepov

Datum

05.07.2023

Številka

07121-1/2023/901

Kategorije

Biometrija, Potrjevanje - Certifikacija

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uvedbe biometrijskih ukrepov v zasebnem sektorju.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, mora pred začetkom obdelave posredovati nadzornemu organu (IP) opis nameravanih obdelav in razloge za njihovo uvedbo. Osebi zasebnega sektorja ni treba pridobiti odločbe nadzornega organa, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku 83. člena ZVOP-2.

Dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju morajo biti vselej potrjena v skladu z 52. členom ZVOP-2.

V javnem sektorju se lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena ZVOP-2, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti.

Obrazložitev

IP glede na pojasnila, ki so vam bila posredovana dne 1. 3. 2023 (dokument številka: 07121-1/2023/286), ponovno poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku..

IP znova opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2. IP pojasnjuje, da potrjevanje obdelave biometričnih podatkov ni v pristojnosti IP, ampak to v skladu s prvim odstavkom 52. člena ZVOP-2 izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (Slovenska akreditacija).

IP pojasnjuje, da mora v skladu s petim odstavkom 83. člena ZVOP-2 oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posredovati nadzornemu organu (IP) opis nameravanih obdelav in razloge za njihovo uvedbo. Nadzorni organ po prejemu teh informacij v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca. Ob tem IP opominja, da osebi zasebnega sektorja ni treba pridobiti odločbe nadzornega organa le v primeru, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku 83. člena ZVOP-2, torej če so dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. V vseh drugih primerih pa mora oseba zasebnega sektorja pridobiti odločbo IP. Ob tem IP posebej pojasnjuje, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju vselej potrjena v skladu z 52. členom ZVOP-2, torej ne glede na to, ali gre primer, ko so dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo, temveč v vsakem primeru, ko se izvaja biometrija v zasebnem sektorju. Obdelava pod izključnim nadzorom posameznika ob dodatnem pogoju pridobljenega potrdila po 52. členu torej omogoča (le) uveljavljanje izjeme glede pridobivanja odločbe IP, ne pa glede potrjevanja dejanj obdelave biometričnih osebnih podatkov.

Na podlagi navedenega IP povzema, da morajo biti torej v vsakem primeru dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2, poleg tega pa je v večini primerov obdelave biometričnih osebnih podatkov v zasebnem sektorju treba pridobiti tudi odločbo IP, s katero se dovoli obdelava biometričnih osebnih podatkov. Te odločbe ni treba pridobiti le v primeru, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku 83. člena ZVOP-2. IP ob tem poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru in tako ne more presojati, ali bi šlo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, za dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank. IP prav tako v okviru neobvezujočega mnenja ne more potrjevati, ali gre v primeru, ki ga navajate v vašem zaprosilu za mnenje, za primere iz 23. člena ZVOP-2 ali ne. IP se lahko glede tega dokončno in konkretno opredeli šele v okviru konkretnega nadzornega ali drugega upravnega postopka po seznanitvi z vsemi relevantnimi dejstvi in okoliščinami.

Glede uvedbe biometrijskih ukrepov za namen evidentiranja delovnega časa IP pojasnjuje, da se v skladu s prvim odstavkom 83. člena ZVOP-2 biometrijski ukrepi lahko izvajajo le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. S takšno določbo je zakonodajalec sledil načelu sorazmernosti in načelo konkretiziral glede obdelave posebne vrste osebnih podatkov, t.j. biometričnih podatkov ter s tem omejil možnosti prekomernih in neupravičenih posegov v zasebnost in dostojanstvo posameznika pri izvajanju biometrijskih ukrepov. Obstajati mora torej resnično upravičen razlog, ki terja, da je biometrično preverjanje oziroma ugotavljanje identitete nujno potrebno in da namena, ki ga upravljavec zasleduje, ni mogoče doseči zadovoljivo tudi z drugimi načini preverjanja oziroma ugotavljanja identitete, ki ne vključujejo posegov v zasebnost in dostojanstvo posameznika. Izjemo ZVOP -2 določa za javni sektor, in sicer se v skladu s petim odstavkom 82. člena ZVOP-2 v javnem sektorju lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Slednje pomeni, da je za te namene potrebno pridobiti odločbo Informacijskega pooblaščenca, posamezniki morajo biti o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave. Ta izjema se , kot rečeno, nanaša le na javni sektor.

Če torej podjetje oziroma oseba zasebnega sektorja, ki želi uvesti biometrijske ukrepe, ker so ti nujno potrebni za opravljanje dejavnosti, varnost ljudi ali premoženja, varovanje tajnih podatkov ali varovanje poslovne skrivnosti, za dosego teh namenov nujno potrebuje tudi biometrijsko evidentiranje delovnega časa in uspe dokazati, da so biometrijski ukrepi ne samo primerni, temveč nujno potrebni in da zasledovanega namena ni mogoče doseči na drug način, ki je s stališča zasebnosti in dostojanstva zaposlenih manj škodljiv oziroma vsiljiv, potem se tudi evidentiranje delovnega časa lahko izvede z biometrijskimi ukrepi. IP pa ob tem pojasnjuje, da praksa kaže, da upravljavci zelo pogosto uvajajo biometrijske ukrepe za evidentiranje delovnega časa zgolj zaradi priročnosti oziroma odsotnosti skrbi nad npr. brezkontaktnimi karticami ali ključi in podobnimi sredstvi oziroma kot alternativno rešitev za preprečitev vstopa nepooblaščenih oseb v svoje prostore, ker je takšen način bodisi bolj praktičen od sistema z brezkontaktnimi karticami, ključi in podobnimi sredstvi ali pa želijo preprečiti zlorabe s posojanjem teh sredstev. Ob tem nikakor ne ponudijo tudi dovolj dokazov, da je biometrijsko evidentiranje delovnega časa resnično nujno potrebno za dosego namenov opredeljenih v prvem odstavku 83. člena ZVOP-2.

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka