Prstni odtis za evidentiranje službene prisotnosti
+ -Številka: 0712-1/2017/1499
Kategorije:Biometrija, Delovna razmerja, Občutljivi OP
Spoštovani,Informacijski pooblaščenec (v nadaljnjem besedilu IP) je 24. 7. 2017 od Inšpektorata RS za delo prejel odstop vašega zaprosila za mnenje z dne 6. 7. 2017 v zvezi z uvedbo biometrijskih ukrepov pri delodajalcu. Zanima vas, ali lahko podjetje, vzame vsakemu zaposlenemu prstni odtis za vhodna vrata oz. uvede sistem, da se na podlagi prstnega odtisa zaposleni evidentira pri vhodu in izhodu z dela. V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljnjem besedilu ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.Identifikacija posameznika na podlagi njegovega prstnega odtisa pomeni obdelavo biometričnih značilnosti oziroma biometrijske ukrepe. ZVOP-1 dovoljuje uporabo biometrijskih ukrepov v zasebnem sektorju le, če so nujno potrebni za: opravljanje dejavnosti, varnosti ljudi ali premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti.Zasebni sektor lahko biometrijske ukrepe izvaja le nad svojimi zaposlenimi, če so bili ti o tem predhodno pisno obveščeni. Če izvajanje biometrijskih ukrepov v zasebnem sektorju ni določeno z zakonom, mora tisti, ki želi uvesti biometrijske ukrepe, pridobiti odločbo IP.Če menite, da je podjetje kršilo ZVOP-1, lahko pri IP vložite prijavo. Ob tem vas prosimo, da navedete čim več podatkov (naziv podjetja, okoliščine primera, …), na podlagi katerih bo nato IP, če bo to ocenil za potrebno, po uradni dolžnosti izvedel ustrezne inšpekcijske postopke.O b r a z l o ž i t e v:ZVOP-1 v posebnem poglavju ureja (78. do 81. člen) biometrijske ukrepe kot posebno vrsto obdelave osebnih podatkov. V primeru, kot ga opisujete, gre za obdelavo biometričnih značilnosti. Glede na določbo 21. točke 6. člena ZVOP-1 so namreč biometrične značilnosti takšne telesne, fiziološke ter vedenjske značilnosti, ki jih imajo vsi posamezniki, so pa edinstvene in stalne za vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z uporabo prstnega odtisa, posnetka papilarnih linij s prsta, šarenice, očesne mrežnice, obraza, ušesa, deoksiribonukleinske kisline ter značilne drže. Z obdelavo biometričnih značilnosti se glede na 78. člen ZVOP-1 ugotavljajo ali primerjajo lastnosti posameznika, tako da se lahko izvrši njegova identifikacija oziroma preveri njegova identiteta (biometrijski ukrepi) pod pogoji, ki jih določa ta zakon.Po 80. členu ZVOP-1 lahko zasebni sektor izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, skladno z drugim odstavkom istega člena, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu (tj. IP) opis nameravanih ukrepov in razloge za njihovo uvedbo.Po prejemu posredovanih informacij je IP dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z ZVOP-1, predvsem s pogoji iz navedenega prvega odstavka, s katerimi je zakonodajalec konkretiziral načelo sorazmernosti (3. člen ZVOP-1) in s tem omejil možnosti prekomernih in neupravičenih posegov v zasebnost in dostojanstvo posameznika pri izvajanju biometrijskih ukrepov. Čeprav se biometrijski ukrepi lahko izvedejo ob spoštovanju vseh določil ZVOP-1, pa se torej lahko uvedejo le, če so res nujno potrebni za opravljanje dejavnosti oziroma varovanje premoženja, ljudi, tajnih podatkov ali poslovnih skrivnosti. Pri presoji, ali so biometrijski ukrepi nujno potrebni za dosego namena, IP presoja tudi, ali bi namen, ki ga zasleduje upravljavec, lahko dosegel z načini obdelave osebnih podatkov, ki manj posegajo v zasebnosti zaposlenih.Če upoštevajoč navedeno menite, da je podjetje kršilo ZVOP-1, lahko pri IP vložite prijavo, bodisi osebno, pisno ali preko spletnega obrazca (Obrazec ZIN PRIJAVA), ki je na voljo na spletni strani https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. IP lahko učinkovito obravnava le prijave (tudi anonimne), iz katerih je mogoče ugotoviti, s katerim dejanjem naj bi bile kršene pravice posameznika do varstva osebnih podatkov, kdo je domnevni kršitelj in kdaj je do kršitve prišlo. Zato prosimo, da v primeru prijave navedete čim več podatkov, na podlagi katerih bo nato IP, če bo to potrebno, po uradni dolžnosti izvedel ustrezne inšpekcijske postopke. V upanju, da smo vam z odgovorom pomagali, vas lepo pozdravljamo.Pripravila:Karolina Kušević, univ. dipl. prav.,asistentka svetovalca pri IPInformacijski pooblaščenec:Mojca Prelesnik, univ. dipl. prav.,informacijska pooblaščenka