Uvedba biometrijskih ukrepov v zasebnem sektorju

Datum

06.02.2026

Številka

07121-1/2026/97

Kategorije

Biometrija, Certificiranje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uvedbe biometrijskih ukrepov v zasebnem sektorju.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju morajo biti potrjena v skladu z 52. členom ZVOP-2. IP ob tem pojasnjuje, da je po njegovem mnenju tukaj prišlo do napačnega sklica v ZVOP-2 in bi bil ustrezen sklic na 53. člen ZVOP-2, ki v prvem odstavku določa, da potrjevanje izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (SA), v skladu z b) točko prvega odstavka 43. člena Splošne uredbe in zakonom, ki ureja akreditacijo.

Potrjevanje izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (SA).

Po mnenju IP Iz drugega odstavka 121. člena izhaja namera zakonodajalca, da pogoji glede pridobitve certifikata ne veljajo, dokler se ne začnejo procesi akreditacije skladno z ZVOP‑2.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 83. člena določa, da se obdelava biometričnih osebnih podatkov v zasebnem sektorju lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2.

Posamezni upravljavec iz zasebnega sektorja, ki bi želel obdelovati biometrične osebne podatke, mora torej imeti ta dejanja obdelave potrjena (prejeti ustrezno potrdilo oziroma certifikat). IP poudarja, da potrjevanja ne izvaja Slovenska akreditacija (v nadaljevanju: SA), ampak potrjevalna telesa, ki na podlagi vloge prejmejo akreditacijo s strani SA in s tem postanejo akreditirana certifikacijska potrjevalna (certifikacijska) telesa. Akreditacija potrjevalnih teles mora glede na določbo 43. člena Splošne uredbe biti v skladu s standardom EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ (v Republiki Sloveniji je to IP). IP je te dodatne zahteve pripravil, bile so potrjene tudi s strani Evropskega odbora za varstvo podatkov (ang. EDPB). Posledično je SA 16.9. vzpostavila shemo akreditiranja certifikacijskih organov za proizvode, procese, storitve po SIST EN ISO/IEC 17065 za certificiranje postopkov obdelave osebnih podatkov:

https://www.slo-akreditacija.si/akreditacija-certifikacijskih-organov-za-certificiranje-postopkov-dejanj-obdelave-osebnih-podatkov-posameznikov-skladno-z-uredbo-eu-2016-679-zvop-2-in-dodatnimi-zahtevami-ip-rs/

IP potrjuje, da še ni objavil seznama potrjevalnih mehanizmov, saj trenutno v RS taki mehanizmi še ne obstajajo.

V zvezi s prvim (ta določa, da SA začne izvajati postopke akreditacije 1. januarja 2024) in drugim odstavkom 121. člena ZVOP-2 (ta določa, da se do začetka izvajanja postopkov akreditacije po tem zakonu šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, skladna z merili iz mehanizma potrjevanja), IP pojasnjuje, da še do danes v Sloveniji ne obstaja akreditirano certifikacijsko telo, kljub temu da ZVOP‑2 za nekatere obdelave osebnih podatkov, med katerimi je tudi obdelava biometričnih osebnih podatkov, predvideva, da morajo biti obvezno potrjena (upravljavci morajo torej za to obvezno pridobiti certifikat). Mehanizem potrjevanja tako še dandanes ne obstaja in potrdila (certifikata) zaenkrat ni mogoče pridobiti.

Iz drugega odstavka 121. člena sicer po mnenju IP izhaja namera zakonodajalca, da pogoji glede pridobitve certifikata ne veljajo, dokler se ne začnejo procesi akreditacije skladno z ZVOP‑2, ampak se šteje, da so dejanja obdelave upravljavcev in obdelovalcev skladna z merili iz mehanizma potrjevanja. Tretji odstavek 121. člena ZVOP-2 pa določa, da upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena tega zakona vložijo v šestih mesecih po poteku roka iz prvega odstavka tega člena. Obdelave, za katere je bila v roku iz prejšnjega stavka dana vloga za akreditacijo (po mnenju IP ima na tem mestu ZVOP-2 v mislih »potrjevanje« in ne »akreditacijo«), se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024. ZVOP‑2 torej določa, da morajo upravljavci, ki morajo pridobiti certifikat, če želijo zakonito izvajati dejanja obdelave osebnih podatkov, vlogo za potrjevanje oddati v šestih mesecih po 1. januarju 2024, torej do konca junija 2024. Določbo je mogoče v povezavi s prejšnjim odstavkom razumeti tako, da upravljavcem olajša obdelavo osebnih podatkov, za katere je predvidena certifikacija v obdobju, ko ta v Sloveniji še ni obstajala. Od poteka tega obdobja dalje pa bi morala torej dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju biti potrjena (certificirana) s strani potrjevalnih teles, ki jih za to akreditira SA. Ker v omenjenih rokih ustrezni postopki niso bili vzpostavljeni in tako do konca leta 2024 nikakor ni bilo mogoče pridobiti certifikata (kar velja še danes), je nejasno, kako se v obdobju do trenutka, ko bo to mogoče, ta prehodna določba izvaja. IP ob tem ponavlja, da po njegovem mnenju Iz drugega odstavka 121. člena izhaja namera zakonodajalca, da pogoji glede pridobitve certifikata ne veljajo, dokler se ne začnejo procesi akreditacije skladno z ZVOP‑2.

Tretji odstavek 83. člena ZVOP-2 določa, da se sme obdelava biometričnih osebnih podatkov v zasebnem sektorju izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. V zvezi s tem IP nadalje pojasnjuje, da ZVOP-2 za takšne primere implementacije biometrije omogoča določene olajševalne okoliščine za zavezance, zlasti v luči tega, da v tem primeru ni treba pridobiti predhodne pozitivne odločbe IP (ta izjema velja zgolj za zasebni sektor). Ob tem pa IP posebej znova opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2 in to velja tudi za obdelave v  smislu tretjega odstavka 83. člena ZVOP-2.

IP na podlagi navedenega povzema, da v kolikor gre za obdelavo biometričnih osebnih podatkov strank v skladu s prejšnjim odstavkom, ni treba pridobiti odločbe IP, morajo pa biti dejanja obdelave potrjena v skladu z 52. členom ZVOP-2. IP ob tem pojasnjuje, da je po njegovem mnenju tukaj prišlo do napačnega sklica v ZVOP-2 in bi bil ustrezen sklic na 53. člen ZVOP-2, ki v prvem odstavku določa, da potrjevanje izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (SA), v skladu z b) točko prvega odstavka 43. člena Splošne uredbe in zakonom, ki ureja akreditacijo. V drugem odstavku 53. člen ZVOP-2 določa, da SA izda akreditacijsko listino potrjevalnemu telesu in o tem obvesti nadzorni organ. Zoper izdano akreditacijsko listino pritožba ni dovoljena, dopusten pa je upravni spor.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka