Preverjanje nujnosti pri odločanju o uvedbi biometrijskih ukrepov
+ -Številka: 07121-1/2023/1121
Kategorije: Biometrija
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe biometrije v zasebnem sektorju. Zanima vas, kako konkretno Informacijski pooblaščenec tolmači, da je obdelava nujno potrebna zaradi varnosti premoženja, varovanje tajnih podatkov in poslovnih skrivnosti. V enem izmed mnenj IP ste zasledili, da upravljalci pogosto uvajajo biometrijske ukrepe kot alternativo brezkontaktnim karticam in ključem oziroma želijo preprečiti zlorabe s posojanjem teh sredstev (št. mnenja 07121-1/2023-901 z dne 5.7.2023), pa vendar saj v zasebnem sektorju ravno zaradi varnosti premoženja in seveda nekje tudi zaradi evidentiranja vstopov, uporabljajo ključe in kartice, če je premoženje v podjetju vrednejše je to lahko tudi nujno potrebno, da ne prihaja do morebitnih zlorab. Zanima vas, kakšen je torej po mnenju IP kriterij »nujno potrebno zaradi varnosti premoženja«, kako tolmačimo tajne podatke in kako poslovne skrivnosti? Ali se v tem delu sklicuje IP npr. na Zakon o poslovni skrivnosti, da lahko upravljalec dokaže, da ima poslovne skrivnosti in zato potrebuje takšne biometrijske ukrepe ali to tolmačite širše? Prosili bi nas tudi za kakšen konkreten primer, v katerem je bila izdana vaša pozitivna odločba za izdajo biometrijskih ukrepov.
Poleg navedenega prosite še za pojasnilo glede postopkov akreditacije, če prav razumete Slovenska akreditacija prične z izvajanjem postopkov dne 1.1.2024, do takrat pa naj bi zadostovalo, da se vloži le prijava biometrijskih ukrepov pri IP in to zadostuje? Potem pa je ne glede na to potrebno v naslednjem letu do junija oddati še vlogo za potrjevanje na Slovensko akreditacijo?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP se glede tolmačenja »tajnih podatkov« in »poklicne skrivnosti« sklicuje na določbe relevantne zakonodaje, ki ureja tajne podatke oz. poklicno skrivnost (t.j. Zakon o tajnih podatkih oz. Zakon o gospodarskih družbah), nujnost uvedbe pa mora upravljavec argumentirati v konkretnem primeru.
Ločevati je treba med pridobitvijo dovoljenja (odločbe) IP po šestem odstavku 83. člena ZVOP-2 in zahtevo po potrjevanju (certifikaciji) dejanj obdelave biometričnih osebnih podatkov (v skladu z 52. členom ZVOP-2) po prvem odstavka 83. člena ZVOP-2
O b r a z l o ž i t e v:
V skladu z določbo petega odstavka 83. člena ZVOP-2 mora oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke (smiselno pa se v določnih primerih pogoji pridobivanja odločbe IP uporabljajo tudi v javnem sektorju), pred začetkom obdelave posredovati nadzornemu organu (IP) opis nameravanih obdelav in razloge za njihovo uvedbo. V skladu z določbo šestega odstavka 83. člena ZVOP-2 nadzorni organ (IP) po prejemu posredovanih informacij iz prejšnjega odstavka v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca.
IP mora pri odločanju o tem, ali je nameravano izvajanje biometrijskih ukrepov v zasebnem sektorju v skladu z določbami ZVOP-2, ugotavljati, ali je izvajanje biometrijskih ukrepov nujno potrebno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti oziroma ali če za namene varovanja teh interesov obdelavo biometričnih osebnih podatkov določa drug zakon, posebej določa pogodba ali so stranke za to dale izrecno privolitev. V slednjem primeru lahko oseba zasebnega sektorja obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Z določitvijo teh pogojev je zakonodajalec sledil načelu sorazmernosti in načelo konkretiziral glede obdelave posebne vrste osebnih podatkov, t.j. biometričnih podatkov, ter s tem omejil možnosti prekomernih in neupravičenih posegov v zasebnost in dostojanstvo posameznika pri izvajanju biometrijskih ukrepov. Upravljavec mora seveda v primeru obdelave biometričnih osebnih podatkov zadostiti tudi drugim zahtevam ZVOP-2 in Splošne uredbe o varstvu podatkov, med katere spada predvsem dolžnost zavarovanja podatkov (24. in 32. člen Splošne uredbe o varstvu podatkov), dolžnost posredovanja informacij iz 13. oziroma 14. člena Splošne uredbe o varstvu podatkov, dolžnost izbrisa ali anonimiziranja podatkov po dosegu namena ter dolžnost pisnega obvestila posameznikov pred začetkom obdelave biometričnih osebnih podatkov (četrti odstavek 83. člena ZVOP-2), vendar pa ugotavljanje izvajanja navedenih določb ni predmet upravnega postopka. Nadzor nad izvajanjem prej navedenih določb je predmet posebnega postopka inšpekcijskega nadzora, ki ga lahko nadzorni organ uvede bodisi na podlagi prijave bodisi v okviru preventivnega inšpekcijskega nadzora nad izvajanjem določb ZVOP-2.
Nujnost uvedbe biometrijskih ukrepov za taksativno naštete namene mora vlagatelj ustrezno argumentirati – uvajanje biometrijskih ukrepov ne bo nujno potrebno, če se uvaja zgolj zaradi praktičnosti, enonomičnosti, sodobnosti ali drugih lastnosti biometrijskih ukrepov oz. če dejansko ne varuje takšnih dobrin, kot jih določa ZVOP-2 (npr. poklicno skrivnost, tajne podatke). Razlog za uvedbo ni utemeljen in tudi ne nujno potreben, če vlagatelj želi uvesti biometrijske ukrepe zgolj zaradi priročnosti oziroma odsotnosti skrbi nad npr. karticami, kot alternativno rešitvijo preprečitve vstopa nepooblaščenim osebam v prostor ali sodobnostjo in privlačnostjo tehnologije kot take ali pa zaradi enostavnosti evidentiranja delovnega časa z biometrijo. Biometrijske ukrepe, ki se uvajajo le zato, ker so bolj priročni od sistemov, ki temeljijo na npr. brezkontaktnih karticah, ni mogoče opredeliti kot nujno potrebnih za dosego namenov, opredeljenih v prvem odstavku 83. člena ZVOP-2. Upošteva se - v vsakem konkretnem postopku posebej - ogroženost in vrednost dobrin, ki jih želi varovati, učinkovitost ukrepov v primerjavi z drugimi ukrepi, resnost potrebe po visoki ravni varovanja ipd. Kot pravilno ugotavljate se glede tolmačenja »tajnih podatkov« in »poklicne skrivnosti« sklicujemo na določbe relevantne zakonodaje, ki ureja tajne podatke oz. poklicno skrivnost (t.j. Zakon o tajnih podatkih oz. Zakon o gospodarskih družbah in Zakon o poslovni skrivnosti) se glede tolmačenja »tajnih podatkov« in »poklicne skrivnosti« sklicujemo na določbe relevantne zakonodaje, ki ureja tajne podatke oz. poklicno skrivnost (t.j. Zakon o tajnih podatkih oz. Zakon o gospodarskih družbah).
Primer ustrezno anonimizirane odločbe o biometrijskih ukrepih lahko pridobite na podlagi določb Zakona o dostopu do informacij javnega značaja (več o tem: https://www.ip-rs.si/informacije-javnega-zna%C4%8Daja/).
Glede vašega vprašanja, ki se nanaša na akreditacijo pa pojasnjujemo, da je treba ločevati med pridobitvijo dovoljenja (odločbe) IP po šestem odstavku 83. člena ZVOP-2 in zahtevo po potrjevanju (certifikaciji) dejanj obdelave biometričnih osebnih podatkov v skladu z 52. členom ZVOP-2 po prvem odstavka 83. člena ZVOP-2. Odločbo, s katero se dovoli izvajanje biometrijskih ukrepov izda IP, in glede tega ni posebnih prehodnih rokov – po petem odstavku 83. člena ZVOP-2 jo je treba pridobiti pred začetkom uporabe biometrije.
Potrjevanje pa bodo izvajala telesa za potrjevanje, ki pa morajo predhodno pridobiti akreditacijsko listino s strani Slovenske akreditacije, s katero pridobijo sposobnost izdaje potrdil oz. certifikatov – ti postopki se začnejo izvajati s 1. 1. 2024. Ker uporabniki biometrijskih ukrepov torej v trenutku izdaje tega mnenja še ne morejo potrditi svojih obdelav po prvem odstavku 83. člena ZVOP-2, morajo podati vloge za potrjevanje oz. vloge po drugem stavku prvega odstavka 83. ZVOP-2 v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena ZVOP-2 (torej do 1. 7. 2024) – to vlogo za potrjevanje pa naslovijo ne na IP in ne na Slovensko akreditacijo, temveč na telo za potrjevanje (ang. certification body), ki bo s strani Slovenske akreditacije prejelo akreditacijsko listino. Zakonodajalec glede na določbe ZVOP-2 pričakuje, da bo v leta 2024 akreditirano vsaj eno telo za potrjevanje. Obdelave, za katere je bila do 1. 7. 2024 dana vloga za - tu ZVOP-2 nepravilno uporabi izraz »akreditacijo« (moral bi uporabiti izraz »potrjevanje«, se štejejo za skladne z merili iz mehanizma potrjevanja do 31. 12. 2024.
Več informacij o akreditiranju in potrjevanju najdete na naši infografiki, ki je dostopna na:
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke