Uporaba prstnega odtisa pri vstopu v fitnes
+ -Številka: 07121-1/2022/894
Kategorije: Biometrija
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje, ali lahko fitnes center za potrebe vstopa v objekt in registracijo uporabi vaš prstni odtis?
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
1. Upravljavec iz zasebnega sektorja sme izvajati biometrijske ukrepe le nad svojimi zaposlenimi kadar je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Ne sme pa izvajati biometrijskih ukrepov nad obiskovalci fitnesa.
2. Glede na trenutno veljavne določbe ZVOP-1 upravljavci iz zasebnega sektorja nimajo pravne podlage za shranjevanje biometričnih podatkov svojih strank oz. obiskovalcev na svojih strežnikih oz. v svojih zbirkah, temveč se lahko ti, kolikor se posameznik za to sam odloči in je o tem ustrezno obveščen, shranjujejo zgolj na napravi pod upravljanjem posameznika.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da je odgovornost za zakonito obdelavo osebnih podatkov vedno na upravljavcu osebnih podatkov, ki mora biti to zmožen tudi dokazati. IP izven postopka inšpekcijskega nadzora ali drugega upravnega postopka tako ne more podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov in zato tudi ne more podajati konkretnih ocen o tem, ali upravljavec izpolnjuje pogoje za obdelavo osebnih podatkov posameznikov (prstnih odtisov pri vstopu v fitnes) oz. ali je za tovrstno obdelavo zagotovil ustrezno in zakonito pravno podlago. S tega razloga vam v nadaljevanju posredujemo le nekaj splošnih pojasnil v zvezi z vašim vprašanjem.
Glede na vaše navedbe iz dopisa uvodoma ugotavljamo, da bi šlo lahko pri opisani obdelavi prstnih odtisov za namen vstopa oz. registracijo v fitnes centru za izvajanje biometrijskih ukrepov v zasebnem sektorju, v zvezi s čimer pride v poštev določba prvega odstavka 80. člena ZVOP-1. Več o biometriji in biometrijskih ukrepih si lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prijava-biometrijskih-ukrepov
V zvezi s tem IP pojasnuje, da 80. člen ZVOP-1 določa, da lahko zasebni sektor (v konkretnem primeru fitnes center) izvaja biometrijske ukrepe le nad svojimi zaposlenimi, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Pri tem dodatno še določa, da morajo biti zaposleni predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, skladno z drugim odstavkom istega člena, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu (IP) opis nameravanih ukrepov in razloge za njihovo uvedbo. IP je po prejemu posredovanih informacij dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z ZVOP-1, predvsem s pogoji iz navedenega prvega odstavka. ZVOP-1 v tretjem odstavku 80. člena določa tudi, da se rok za izdajo odločbe IP lahko podaljša za največ en mesec, če bi uvajanje biometrijskih ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku.
Upravljavec iz zasebnega sektorja sme torej izvajati biometrijske ukrepe le kadar so kumulativno izpolnjeni naslednji pogoji:
1) kadar je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti ;
2) le nad svojimi zaposlenimi in samo če so bili predhodno o tem pisno obveščeni;
3) kadar izvajanje določenih biometrijskih ukrepov ni urejeno z zakonom, mora upravljavec pred uvedbo ukrepov posredovati IP-ju opis nameravanih ukrepov in razloge za njihovo uvedbo, kjer biometrijske ukrepe izvaja lahko šele po prejemu odločbe IP, s katero je bilo izvajanje biometrijskih dovoljeno.
Pri presoji, ali so biometrijski ukrepi nujno potrebni za dosego namena, IP presoja tudi, ali bi namen, ki ga zasleduje upravljavec, lahko dosegel tudi z načini obdelave osebnih podatkov, ki manj posegajo v zasebnost zaposlenih.
Fitnes center kot upravljavec iz zasebnega sektorja glede na navedene določbe ne sme izvajati biometrijskih ukrepov nad obiskovalci fitnesa, vendar pa kolikor obdelava biometrijskih podatkov poteka zgolj in izključno pod nadzorom posameznika, npr. samo na njegovi napravi, in fitnes center ne shranjuje ali drugače obdeluje biometrijskih podatkov posameznika, ne gre za izvajanje biometrijskih ukrepov.
Več o sami uvedbi biometrijskih ukrepov si lahko preberete v Smernicah glede uvedbe biometrijskih ukrepov (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Biometrija_-_smernice.pdf) oz. v naših že izdanih mnenjih, ki jih lahko najdete na naši spletni strani (https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-mnenjih) z iskanjem po ključni besedi »biometrija«.
IP sklepno še poudarja, da bi preverjanje zakonitosti obdelave osebnih podatkov pri upravljavcu lahko izvedel le v okviru inšpekcijskega postopka in ne zadevnega mnenja. V kolikor na podlagi naših pojasnil menite, da je prišlo do kršitve varstva osebnih podatkov, lahko podate tudi prijavo v zvezi z domnevnimi kršitvami pri IP. Uporabite lahko obrazec »Prijava kršitve varstva osebnih podatkov (Obrazec ZIN PRIJAVA)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
V upanju, da smo vam bili v pomoč, vas lepo pozdravljamo.
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka