Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 18.05.2018
Naslov: Biometrijski ukrepi in uvedba novih sistemov registracije dostopa po GDPR
Številka: 0712-3/2018/436
Vsebina: Biometrija, Delovna razmerja, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vase vprašanje, glede ureditve uporabe biometrijskih ukrepov in sistemov kontrole pristopa po začetku uporabe Splošne uredbe o varstvu podatkov (Splošna uredba, ang. GDPR), konkretno navajate, da izvajate za naročnika sistem kontrole pristopa in registracijo delovnega časa. Zahteva naročnika in projektanta je, da imajo vgrajeni čitalniki in registrator delovnega časa tudi čitalnik prstnih odtisov. Gre za proizvodni objekt in ni posebnih zahtev glede visoke stopnje varnosti. V zvezi s tem sprašujete naslednje:

- Kakšni so zaradi nove uredbe (ang. GDPR), pogoji in zahteve za uporabo tovrstnih sistemov?

- Ali je potrebno pridobiti kakšno dodatno dokumentacijo za odobritev ?

 

V zvezi z vašimi vprašanji vam na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) najprej pojasnjujemo, da Informacijski pooblaščenec (v nadaljevanju: IP) dokončne odločitve o zakonitosti določene obdelave osebnih podatkov ali ustreznosti različnih tehničnih rešitev z vidika zahtev glede varstva osebnih podatkov izven inšpekcijskega postopka ne more podati. Prav tako ne moremo podajati pojasnil o morebitni drugačni ureditvi področja po sprejemu novega zakona o varstvu osebnih podatkov, saj ta še ni sprejet.

 

Zato lahko le podamo pojasnilo glede ureditve uporabe biometrijskih ukrepov, ki izhaja iz Splošne uredbe in veljavne zakonodaje ter zahtevah glede uvajanja novih tehničnih rešitev, ki pomenijo določena tveganja za varstvo osebnih podatkov.

 

K 1. vprašanju

Ureditev uporabe biometrijskih ukrepov in beleženje osebnih podatkov glede evidence vstopov in izstopov do morebitne drugačne zakonske ureditve (npr. v ZVOP-2) upoštevajoč določbo 4. odstavka 9. člena Splošne uredbe o varstvu podatkov ostaja tudi po začetku uporabe Splošne uredbe o varstvu podatkov enaka kot doslej (to področje urejajo členi 78-81 in člen 82 ZVOP-1). Več o uporabi biometrijskih ukrepov tudi v smernicah IP na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Biometrija_-_smernice.pdf

 

K 2. vprašanju

Glede ureditve in uvedbe novih tehničnih rešitev kontrole vstopa z vidika zahtev glede varstva osebnih podatkov velja glede uporabe biometrijskih ukrepov in same vzpostavitve evidenc, kot navedeno zgoraj, prav tako glede obdelave osebnih podatkov zaposlenih ostaja veljaven 48. člen ZDR-1. Glede drugih posledic, kot je npr. potreba po izvedbi ocene učinkov ipd. pa je odgovor odvisen od narave sistema in vsekakor priporočamo izvedbo predhodne ocene učinkov pred odločitvijo o izbiri sistema in vzpostavitvijo sistema s ciljem prepoznave vseh tveganj, ugotavljanja dopustnosti oz. zakonitosti uvedbe sistema itd. . Ali bo izvedba ocene učinkov v opisanem primeru tudi obvezna, pa namesto vas v okviru mnenja IP ne more presojati. Vsekakor bo v primeru uporabe biometrijskih ukrepov v zvezi z zaposlenimi zelo verjetno obvezna.

 

Kaj so ocene učinkov na varstvo podatkov, kdaj so zahtevane, kako se izvedejo, kakšni so primeri metodologij ter kontrolni seznam za ugotovitev, ali je bila ocena učinka celovito in kakovostno izvedena, si lahko podrobno preberete v Smernicah Informacijskega pooblaščenca o ocenah učinka, ki so dostopne na:

 

https://www.ip-rs.si/fileadmin/user_upload/Smernice_o_ocenah_ucinka__DPIA__nov2017.pdf

 

V upanju, da ste dobili odgovore na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ.dipl.prav.,

Informacijska pooblaščenka

 

Pripravila:

Alenka Jerše,

namestnica informacijske pooblaščenke