Uporaba biometrije za dostop do računalnikov

Datum

19.06.2025

Številka

07121-1/2025/789

Kategorije

Biometrija

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe biometrijskih ukrepov za dostop zaposlenih do računalnikov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov, identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku po seznanitvi z vsemi relevantnimi dejstvi in okoliščinami. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na samem upravljavcu osebnih podatkov.

Ker IP domneva, da gre v konkretnem primeru za javno srednjo šolo, pojasnjuje, da ZVOP-2 v prvem odstavku 82. člena določa, da se obdelava biometričnih osebnih podatkov v javnem sektorju lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov, identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi. Drugi odstavek istega člena določa, da je obdelavo biometričnih osebnih podatkov v javnem sektorju izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona na način, ki zagotavlja obdelavo in uporabo teh podatkov posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. Glede na navedbe v vašem zaprosilu za mnenje omenjena izjema v konkretnem primeru po mnenju IP najverjetneje ne pride v poštev.

Peti odstavek 82. člena ZVOP-2 določa, da se v javnem sektorju lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti.

Glede na navedeno IP podaja stališče, da bi za v vašem zaprosilu za mnenje opisano predvideno uporabo biometrijskih ukrepov morala obstajati podlaga v zakonu, ki pa po vedenju IP ne obstaja, obenem pa ne gre za izjemo, ki jo dopušča peti odstavek 82. člen ZVOP-2, saj ne gre za ukrep v zvezi z vstopom v stavbo ali dele stavbe. Ob tem IP dodaja, da je opisani namen obdelave biometričnih osebnih podatkov sicer najverjetneje povsem legitimen, vendar pa zakonodaja trenutno torej ne dovoljuje tovrstne uporabe biometrijskih ukrepov v javnem sektorju. Popolnoma logično in razumljivo je sicer, da morajo biti določene delovne postaje ustrezno zavarovane, obenem pa mora biti do njih omogočen hiter dostop v nujnih primerih, kar lahko vnos kompleksnih gesel v posebnem delu oteži oziroma podaljša čas dostopa. Ob predstavljeni relativno strogi ureditvi pogojev za uporabo biometrijskih ukrepov v javnem sektorju je zato morda na mestu premislek o možnih drugih ukrepih, ki ne vključujejo biometrijskih ukrepov (npr. odklepanje računalnikov s pomočjo kartic), kljub temu pa predstavljajo hitre, a obenem še vedno varne načine avtentikacije uporabnikov.

IP dodaja še splošno pojasnilo glede uporabe biometrijskih ukrepov v zasebnem sektorju. ZVOP-2 v prvem odstavku 83. člena določa, da se obdelava biometričnih osebnih podatkov v zasebnem sektorju lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2. IP nadalje pojasnjuje, da morajo biti posamezniki pred začetkom obdelave biometričnih osebnih podatkov o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave. Prav tako mora oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posredovati nadzornemu organu (v RS je to IP) opis nameravanih obdelav in razloge za njihovo uvedbo. Nadzorni organ po prejemu teh informacij v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka