Biometrija za namen avtentikacije uporabnikov
+ -Številka: 07120-1/2023/1352
Kategorije: Biometrija
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje, in sicer ste pojasnili, da nas prosite za informacijo v zvezi z uporabo sistema za zbiranje prstnih odtisov na način, ko so čitalniki prstnih odtisov uporabljeni zgolj za izvrševanje avtentikacije uporabnikov in delujejo zgolj kot mehanizem za proženje stikal. Postopek zajema prstnih odtisov poteka na način, da zaposleni v postopku zajema prstnega odtisa izbere dvomestno kodo (00-99), nato pa še dvomestno podkodo (00-09). Takšna štirimestna koda je vezana na posameznega uporabnika in ni potrebna za postopek identifikacije in je znana samo uporabniku. Kot navajate iz shranjene kode na noben način ni mogoče razbrati, kateremu zaposlenemu ta pripada, ker sistem za delovanje ne zahteva nujno vodenja seznama izbranih kod. Hranijo se predloge template dolžine 500 byte.-ov in ne izvirniki prstnih odtisov.
V letu 2007 ste zasledili vašo odločbo, ki je v takšnem primeru dopustila izvajanje biometrije (odločba 0600-26/2007/4) in vas zanima, ali se je tudi v teh primerih praksa zaostrila ali je tovrstno izvajanje biometrije še vedno dovoljeno?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Informacijski pooblaščenec je o biometrijskih ukrepih izdal posebne smernice, ki vključujejo tudi pojasnila, kdaj je uporaba teh dopustna. V njih pojasnjujemo, da se tudi sistemi, ki delujejo ne osnovi predlog prstnih odtisov (ang. template) štejejo za biometrijo, v posameznem konkretnem primeru pa se pri izdaji odločbe IP upoštevajo vse okoliščine primera s pomembnim poudarkom na izkazovanju nujnosti uvedbe ukrepov za zakonsko opredeljene namene.
Obrazložitev:
Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da je o biometriji izdal posebne smernice, ki vključujejo tudi pojasnila, kdaj je uporaba biometrijskih ukrepov dopustna. Smernice, ki so posodobljene glede na določbe ZVOP-2, so na voljo na povezavi:
Dalje je pomembno pojasniti, da gre za biometrijske ukrepe tudi če se ne hranijo izvirniki prstnih odtisov, ampak le t.i. predloge (angl. template), iz katerih praviloma ni moč restavrirati izvirnikov prstnih odtisov. Dejansko v praksi večina biometrijskih sistemov (npr. na osnovi prstnih odtisov ali obraza) deluje tako, da se ne preverjajo (celotni) izvirniki biometrijskih značilnosti temveč ujemanje določenih značilnih točk, ki se običajno shranijo v predlogi. O tem smo pisali tudi v smernicah in sicer na str. 10 navajamo, da je osebni podatek katerikoli podatek, ki se nanaša na točno določeno ali vsaj določljivo osebo, ne glede na obliko, v kateri je izražen. Oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno ipd. identiteto, pri čemer je način identifikacije razumno dosegljiv ne samo upravljavcu, temveč tudi kateri koli drugi osebi. Biometrični podatek je po naravi stvari vedno podatek, ki se nanaša na točno določeno ali vsaj določljivo osebo. Podatki o npr. prstnem odtisu vedno pripadajo točno določeni osebi. Navedeno tudi za biometrične podatke, ki so shranjeni v reducirani, digitalizirani obliki (template). Svet Evrope je v svojem poročilu zapisal, da dilema, ali so biometrični podatki vedno osebni podatki ali le, če so izpolnjeni določeni pogoji, ni relevantna. Namreč, če so biometrični podatki zbrani z namenom kasnejše avtomatske obdelave, vedno obstaja možnost, da bodo ti podatki povezani z določeno ali določljivo osebo, kar ustreza definiciji osebnih podatkov.
Kar velja za biometrične značilnosti kot take, velja tudi za digitalen zapis teh značilnosti, ki so sestavljeni na podlagi unikatnih značilnosti, ne glede na to, kolikokrat in kako je ta zapis kasneje spremenjen. Ne glede na obliko, način zapisa ali drugo spremembo, ostane vedno tista edinstvena vez z osebo, četudi se morebiti količina podrobnosti v postopku transformacije zmanjšuje. Na podlagi tega lahko rečemo, da so biometrični podatki, četudi shranjeni v reducirani, digitalizirani obliki, vedno osebni podatki, saj se nanašajo na določeno ali vsaj določljivo osebo.
Na vaše vprašanje glede pogojev za uvedbo biometrije najdete pojasnila na str. 13 smernic, kjer smo pojasnili, da se po določbi 83. člena ZVOP-2 biometrijski ukrepi lahko izvajajo le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. S takšno določbo je zakonodajalec sledil načelu sorazmernosti in načelo konkretiziral glede obdelave posebne vrste osebnih podatkov, t.j. biometričnih podatkov ter s tem omejil možnosti prekomernih in neupravičenih posegov v zasebnost in dostojanstvo posameznika pri izvajanju biometrijskih ukrepov. Obstajati mora torej resnično upravičen razlog, ki terja, da je biometrično preverjanje oz. ugotavljanje identitete nujno potrebno in da namena, ki ga upravljavec zasleduje, ni mogoče doseči zadovoljivo tudi z drugimi načini preverjanja oz. ugotavljanja identitete, ki ne vključujejo posegov v zasebnost in dostojanstvo posameznika. Izjema je določba za javni sektor in sicer se v javnem sektorju lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti (peti odstavek 82. člena ZVOP-2). Slednje pomeni, da je za te namene potrebno pridobiti odločbo Informacijskega pooblaščenca, posamezniki morajo biti o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave.
Če torej organizacija, ki želi uvesti biometrijske ukrepe, ker so ti nujno potrebni za opravljanje dejavnosti, varnost ljudi ali premoženja, varovanje tajnih podatkov ali varovanje poslovne skrivnosti, za dosego teh namenov nujno potrebuje tudi biometrijsko evidentiranje delovnega časa in uspe dokazati, da so biometrijski ukrepi ne samo potrebni, temveč so nujno potrebni in da zasledovanega namena ni mogoče doseči na drug način, ki je s stališča zasebnosti in dostojanstva zaposlenih manj škodljiv oziroma vsiljiv, potem se tudi evidentiranje delovnega časa lahko izvede z biometrijskimi ukrepi.
Glede na to, da se določbe glede dopustnih namenov uporabe biometrijskih ukrepov v sami osnovi med ZVOP-1 in ZVOP-2 v tem delu bistveno ne razlikujejo (še vedno je ključna utemeljitev nujnosti uvedbe takšnih ukrepov za zakonsko opredeljene namene), se tudi praksa IP ni bistveno spremenila. Odločitev IP je odvisna od vseh relevantnih okoliščin primera.
V smernicah IP najdete tudi vsa ostala pojasnila glede uvedbe biometrijskih ukrepov.
S spoštovanjem,
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke