Uvedba biometrijskih ukrepov
+ -Številka: 07121-1/2021/2036
Kategorije: Biometrija
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uvedbe biometrijskih ukrepov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
V zvezi z izvajanjem biometrijskih ukrepov IP uvodoma poudarja, da zasebni sektor, kamor spada tudi vaše podjetje, v skladu z določbo prvega odstavka 80. člena ZVOP-1 lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom (kar v konkretnem primeru najverjetneje ni), je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe (torej vaše podjetje), dolžno pred uvedbo ukrepov posredovati državnemu nadzornemu organu (v RS je to IP) opis nameravanih ukrepov in razloge za njihovo uvedbo. Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z zakonom. Rok se lahko podaljša za največ en mesec, če bi uvajanje biometrijskih ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku. Upravljavec sme izvajati biometrijske ukrepe šele po prejemu odločbe IP, s katero je izvajanje biometrijskih ukrepov dovoljeno.
Kakršnekoli biometrijske ukrepe je v zasebnem sektorju torej dopustno izvajati le v skladu z navedenimi pogoji in le nad svojimi zaposlenimi, ne pa tudi nad drugimi osebami (npr. strankami, obiskovalci, pogodbenimi izvajalci, …). IP posebej poudarja, da zasebni sektor lahko izvaja biometrijske ukrepe le, če je njihova uvedba nujno potrebna za opravljanje dejavnosti, varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovnih skrivnosti. Za njihovo uvedbo tako ne zadostuje, da gre za najenostavnejši oziroma najbolj priročen način varovanja omenjenih dobrin, ampak je treba izkazati, da teh dobrin ni mogoče primerljivo zavarovati na noben drug način, z nobenim drugim ukrepom (npr. ukrepi tehničnega, protivlomnega in fizičnega varovanja), s katerim bi se v manjši meri ali pa sploh ne posegalo v informacijsko zasebnost zaposlenih. Treba ja namreč upoštevati, da kakršnokoli izvajanje biometrijskih ukrepov predstavlja neprimerno večji poseg v informacijsko zasebnost posameznika (v konkretnem primeru zaposlenih) kot uporaba drugih sredstev za njegovo identifikacijo, saj gre za obdelavo tistih značilnosti posameznika, ki so edinstvene in stalne za vsakega posameznika posebej in zloraba katerih bi imela za posameznika lahko hude, daljnosežne in nepopravljive posledice. Za razliko od drugih načinov avtentikacije oziroma identifikacije, kjer je možna relativno enostavna menjava in pridobitev novega znaka (geslo, PIN koda, …), je menjava biometrijskih značilnosti (obraz, prstni odtis, mrežnica, šarenica, glas, …) praktično nemogoča. Biometrijske značilnosti so za posameznika stalne in edinstvene, kar ne velja za druge metode avtentikacije oziroma identifikacije, zato je zakonodajalec uvedbo biometrijskih ukrepov strogo omejil na tiste okoliščine, kjer je njihova uporaba nujno potrebna in kjer istih ciljev ni mogoče doseči z drugimi sredstvi, ki manj posegajo v informacijsko zasebnost posameznika.
Več o sami uvedbi biometrijskih ukrepov si lahko preberete v Smernicah glede uvedbe biometrijskih ukrepov, ki so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Biometrija_-_smernice.pdf
in tudi na spletni strani IP:
https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prijava-biometrijskih-ukrepov/
Na omenjeni povezavi se med drugim nahaja tudi Obrazec za prijavo biometrijskih ukrepov IP.
S spoštovanjem.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka