Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Podpisovanje v elektronske naprave

+ -
Datum: 13.07.2021
Številka: 07121-1/2021/1231
Kategorije: Biometrija, Moderne tehnologije, Zavarovanje osebnih podatkov, Informiranje posameznika

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede podpisovanja na (digitalnih) elektronskih napravah.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka.

IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov neposredno ne ureja področja zajema podpisa posameznika preko sodobnih tehnologij, kot so t. i. (digitalne) elektronske podpisne tablice. Slednje so vse bolj razširjen pripomoček za optimizacijo poslovnih procesov, saj uporabnikom omogočajo praktičen način, pri katerem se posameznik podpiše kot običajno, vendar se podpis ob nastanku elektronsko zajame in shrani ter v elektronski obliki doda na elektronski dokument. Uporaba podpisnih tablic tako zagotavlja brezpapirno poslovanje v procesu potrjevanja dokumentov, ki nastajajo na različnih prodajnih mestih (prevzem paketov, sklepanje raznih naročniških razmerij, potrjevanje različnih naročil zavarovalniških, finančnih, bančnih ter upravnih storitev, ipd.) in omogoča hitro in enostavno implementacijo ter povezljivost z različnimi poslovnimi procesi ali informacijskimi sistemi.

Področje varnosti elektorskega podpisovanja in zahteve v zvezi s tem ureja Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (uredba eIDAS) in Zakon o elektronskem poslovanju in elektronskem podpisu (Uradni list RS, št. 98/04 – UPB, 61/06 – ZEPT, 46/14; v nadaljevanju: ZEPEP) ter na njuni podlagi sprejeti predpisi. To področje ne spada v pristojnost IP, ampak sodi v delovni okvir ministrstva, pristojnega za informacijsko družbo (Ministrstvo za javno upravo RS).

IP z vidika varstva osebnih podatkov splošno pojasnjuje, da mora vsak upravljavec sprejeti ustrezne ukrepe, da poskrbi za varnost osebnih podatkov, ki jih obdeluje, tudi tistih, ki jih pridobi preko elektronskega podpisa. Ti ukrepi morajo zagotavljati tudi, da se prepreči nepooblaščen dostop do osebnih podatkov. IP ob tem dodaja, da ZEPEP v prvem odstavku 37. člena glede sredstev za varno elektronsko podpisovanje posebej določa, da morajo z uporabo ustreznih postopkov in infrastrukture med drugim zagotavljati tudi, da lahko podpisnik zanesljivo varuje svoje podatke za elektronsko podpisovanje pred nepooblaščenim dostopom, v drugem odstavku istega člena pa je določeno, da sredstvo za varno elektronsko podpisovanje ne sme spremeniti podatkov, ki se podpisujejo ali preprečiti prikaza podatkov podpisniku pred podpisom.

IP nadalje pojasnjuje, da na trgu obstajajo različne vrste elektronskih podpisnih tablic. Tiste, ki zgolj preslikajo posameznikov podpis, načeloma niso v neskladju s predpisi s področja varstva osebni podatkov, čeprav je lahko vprašljiva dokazna vrednost tako zajetega podpisa, še zlasti v primerjavi z lastnoročnim podpisom. Prav tako je lahko vprašljiva skladnost postopkov zajema, podpisovanja in hrambe tako podpisanega dokumenta s predpisi, ki urejajo arhivsko in dokumentarno gradivo, zato mora uporabnost, izvedbo in tveganja take rešitve presojati vsak upravljavec zase ter predpisati take postopke zajema podpisa in hrambe podpisanega dokumenta, da ne prihaja do zlorab (npr. vpogled v osebni dokument s fotografijo ob zajemu podpisa in evidentiranje identifikacijske številke dokumenta, ipd.).

IP ob tem opozarja, da bi z vidika skladnosti s predpisi s področja varstva osebnih podatkov najverjetneje lahko bile sporne takšne (zmogljivejše) elektronske podpisne tablice, ki ob zajemu podpisa zabeležijo posamezne značilnosti (npr. hitrost, pritisk, kot in značilen ritem podpisovanja), saj bi v tem primeru šlo za obdelavo biometričnih značilnosti posameznika, ki omogočajo prepoznavo in določitev posameznikov. Tovrstne naprave običajno delujejo tako, da odčitajo navedene biometrične značilnosti posameznika, odčitek shranijo in mu določijo parametre, po katerih se preverjajo in primerjajo vsi nadaljnji podpisi posameznika tako, da je prepoznavna vsaka kasnejša sprememba teh hranjenih parametrov ali povezav med njimi. Pri tovrstnih elektronskih podpisnih tablicah gre za rešitev, pri kateri uporabniki obdelujejo biometrične značilnosti posameznikov. Za njihovo obdelavo veljajo zelo strogi pogoji, ki so določeni v členih 78. - 81. ZVOP-1.

IP sklepno opozarja, da je v vseh primerih obdelav osebnih podatkov treba zagotoviti, da so posamezniki primerno obveščeni o obdelavi njihovih osebnih podatkov v skladu z določbami 13. člena Splošne uredbe o varstvu podatkov, ki določa, da je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

  • identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  • kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  • namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  • kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  • uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  • kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  • tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Informacije se v vsakem primeru posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Informacije morajo biti torej podane na lahko dostopen način in predstavljene v jasnem in razumljivem jeziku, ki je prilagojen glede na tipičnega uporabnika storitev posameznega upravljavca.

IP je za pomoč upravljavcem pri seznanjanju posameznikov glede obdelave osebnih podatkov pripravil tudi vzorec obvestila, ki je dostopen na spletni strani IP:

Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe o varstvu podatkov)

 

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka