Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Ureditev biometrijskih ukrepov po ZVOP-2

+ -

Biometrija je eden izmed načinov ugotavljanja oz. preverjanje identitete. Temelji na »tistemu, kar oseba je«. Torej neka samo njej lastna telesna oziroma vedenjska značilnost. Takšen način preverjanja ima pred ostalima velike prednosti. Magnetne kartice se izgubijo, ukradejo, posodijo, osebna gesla se pozabijo, razkrijejo ipd., biometrične značilnosti pa ostanejo (vsaj načeloma) večne, ne morejo se izgubiti ali pozabiti, težko jih je reproducirati oziroma prenesti na drugo osebo.

Splošna uredba v uvodni izjavi št. 53  in v 4. odstavku člena 9 določa, da imajo države članice možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju. Biometrijske ukrepe ureja Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), ki je nadomestil prejšnji Zakon o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati. ZVOP-2 ureja biometrijske ukrepe v členih od 81 do 84 (4. poglavje II. dela zakona). Obdelava biometričnih osebnih podatkov v nasprotju z določbami tega poglavja ZVOP-2 je prepovedana. 

Če drug zakon določa obdelavo biometričnih osebnih podatkov, poleg vsebin iz drugega ali tretjega odstavka 6. člena ZVOP-2 določi tudi pogoje za njeno uporabo, lahko pa uporabo biometričnih osebnih podatkov tudi omeji (2. odstavek 81. člena ZVOP-2).

Prepovedano je povezovati zbirke biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov v skladu z 20. členom Splošne uredbe, razen če to določa drug zakon ali v to privoli posameznik, na katerega se biometrični osebni podatki nanašajo (3. odstavek 81. člena ZVOP-2).

Biometrija v zasebnem sektorju 

Obdelava biometričnih osebnih podatkov v zasebnem sektorju se lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2 (2. odstavek 83. člena ZVOP-2).

Oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke tudi zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa drug zakon, če to posebej določa pogodba ali so stranke dale izrecno privolitev. Kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov.

Obdelava biometričnih osebnih podatkov v zasebnem sektorju se sme izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete (3. odstavek 83. člena ZVOP-2).

Pred začetkom obdelave biometričnih osebnih podatkov morajo biti posamezniki o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave (4. odstavek 83. člena ZVOP-2).

Po določbi 5. odstavka 83. člena ZVOP-2 oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posreduje nadzornemu organu opis nameravanih obdelav in razloge za njihovo uvedbo (glejte Obrazec za prijavo biometrijskih ukrepov Informacijskemu pooblaščencu).  Informacijski pooblaščenec po prejemu potrebnih informacij v dveh mesecih odloči, ali je biometrija dovoljena v skladu z določbami ZVOP-Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca. Upravljavec osebnih podatkov sme izvajati biometrijske ukrepe šele po prejemu odločbe Informacijskega pooblaščenca, s katero je izvajanje biometrijskih ukrepov dovoljeno. Zoper odločbo Informacijskega pooblaščenca ni pritožbe, dovoljen pa je upravni spor.

ZVOP-2 določa tudi možno izjemo in sicer osebi zasebnega sektorja ni treba pridobiti odločbe če se biometrični ukrepi izvajajo na način iz 3. odstavka 83. člena ZVOP-2, t.j. so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.

Ob tem velja izpostaviti, da 121. člen ZVOP-2 v prehodnih določbah glede potrjevanja določa, da Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024, da pa se do začetka izvajanja postopkov akreditacije po tem zakonu se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, ta skladna z merili iz mehanizma potrjevanja.(3) Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena tega zakona vložijo v roku šestih mesecev po poteku roka iz prvega odstavka tega člena. Obdelave, za katere je bila v roku iz prejšnjega stavka dana vloga za akreditacijo, se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024.

84. člen ZVOP-2 opredeljuje prepoved pridobivanja biometričnih osebnih podatkov

v zvezi s trženjem in sicer določa, da v okviru trženja ali podobne druge poslovne dejavnosti se ne smejo zahtevati, pridobiti ali nadalje obdelovati biometrični osebni podatki v zamenjavo za določene storitve, četudi so te storitve za posameznika, na katerega se nanašajo osebni podatki, brezplačne.

Biometrija v javnem sektorju

82. člen ZVOP-2 določa, da se obdelava biometričnih osebnih podatkov v javnem sektorju lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja ali za varovanje tajnih podatkov, za identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi.

Obdelavo biometričnih osebnih podatkov v javnem sektorju je izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 na način, ki zagotavlja obdelavo in uporabo teh podatkov posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti

svoje identitete (2. odstavek 82. člena ZVOP-2).

Ne glede na prvi odstavek 82. člena ZVOP-2 se obdelave biometričnih osebnih podatkov lahko določi z zakonom, če gre za izpolnjevanje obveznosti iz obvezujoče mednarodne pogodbe ali za identifikacijo posameznikov pri prehajanju državnih meja (3. odstavek 82. člena ZVOP-2).

Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi z zakonom tudi za namen identifikacije posameznikov pri izdaji sredstev elektronske identifikacije v skladu z zakonom, ki ureja sredstva elektronske identifikacije, in če je tako identifikacijo posameznik zahteval (4. odstavek 82. člena ZVOP-2).

V javnem sektorju se lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. (5. odstavek 82. člena ZVOP-2). Slednje pomeni, da je za te namene potrebno pridobiti odločbo Informacijskega pooblaščenca,  posamezniki morajo biti o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave.

Odgovori na najpogostejša vprašanja glede uporabe biometrije

1. Kaj je biometrija?

Sama beseda biometrija izhaja iz starogrške besede »bios« (življenje) in »metron« (meritev). Poenostavljeno bi lahko rekli, da je biometrija ali biometrika, kot včasih tudi zasledimo, veda o načinih prepoznave ljudi na podlagi njihovih telesnih, fizioloških ter vedenjskih značilnosti, ki jih imajo vsi posamezniki, so  edinstvene in stalne za vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z uporabo prstnega odtisa, posnetka papilarnih linij s prsta, šarenice, očesne mrežnice, obraza, ušesa, DNK ter značilne drže.

Biometrija je danes samo eden izmed načinov ugotavljanja oz. preverjanje identitete. Preostali načini so  znani že dalj časa. Gre za načine, ki temeljijo na »tistemu, kar oseba ima« (npr. magnetna kartica), ali pa temeljijo na »tistemu, kar oseba ve« (osebno geslo, PIN-koda). Biometrija sodi v tretjo skupino, ki temelji na »tistemu, kar oseba je«. Torej neka samo njej lastna telesna oziroma vedenjska značilnost. Takšen način preverjanja ima pred ostalima velike prednosti. Magnetne kartice se izgubijo, ukradejo, posodijo, osebna gesla se pozabijo, razkrijejo ipd., biometrične značilnosti pa ostanejo (vsaj načeloma) večne, ne morejo se izgubiti ali pozabiti, težko jih je reproducirati oziroma prenesti na drugo osebo.

2. Katere človeške značilnosti se v biometriji najpogosteje uporabljajo?

Naštejmo le najbolj znane. Lahko jih ločimo na telesne in vedenjske značilnosti. Telesne značilnosti so:

  • prstni odtis,
  • dlan,
  • podoba obraza,
  • šarenica,
  • očesna mrežnica
  • uho,
  • preplet ven na roki,
  • vonj,
  • DNK.

 Vedenjske značilnosti:

  • lastnoročno podpisovanje,
  • govor (glas),
  • gibanje,
  • tipkanje.

 Niso vse biometrične značilnosti enako neponovljive oziroma unikatne. Kot najbolj unikatne se štejeta očesna mrežnica in DNK. Vendar unikatnost ni absolutna. Tako je npr. zanimiv primer uporabe biometrije iz Velike Britanije. V primeru Raymond Easton proti Veliki Britaniji se je izkazalo, da imata lahko dve osebi enak celo del zapisa DNK (v konkretnem primeru na šestih mestih), za kar je sicer teoretično izračunana verjetnost kar 1:37.000.000. Zato je na mestu opozorilo, da biometrija tudi s tega vidika ni vsemogočen in nezmotljiv način identifikacije in ji zato ne gre slepo zaupati.

3. Kako poteka prepoznava prstnega odtisa?

Za zajem značilnosti vzorca prstnega odtisa, obstaja več algoritemskih metod. Najbolj razširjene metode temeljijo na prepoznavanju vzorca ali izvlečku minucij. V primeru algoritmov, ki temeljijo na minucijah, je prstni odtis sestavljen iz grobih značilnosti, kot so loki, zanke in zasuki, ter drobnih značilnosti (minucije) kot so predvsem bifurkacije (razdelitve), delte (združevanja v obliki črke Y) in zaključki grebenov. Prstni odtis ima med 30 in 40 minucij. Značilnost vsake od njih je položaj (koordinate), tip (bifurkacija, delta ali zaključek) in usmerjenost (orientacija). Skupek značilnosti minucij lahko da predlogo za prstni odtis. Če so značilnosti natančno zajete, je možnost, da bi imela dva prstna odtisa enake značilnosti, izjemno nizka.

4. Zakaj uporaba biometrije narašča?

Vse več je zahtev po avtomatiziranem, natančnem in hkrati hitrem ugotavljanju oz. potrjevanju identitete posameznika. Vse več je tudi aplikacij avtomatiziranega odločanja o pravicah in dolžnostih posameznika. In tudi zaradi prednosti biometričnih značilnosti, ki so:

  • unikatne,
  • neprenosljive na drugo osebo,
  • ni jih mogoče pozabiti ali izgubiti,
  • težko jih  je kopirati ali ponarediti,
  • lahko se uporabijo z vednostjo ali brez vednosti posameznika in
  • posamezniku jih je težko spremeniti ali skriti.

5. Kakšna je razlika med identifikacijo in avtentikacijo z biometrijskimi ukrepi?

Zakon pod pojmom »biometrijskih ukrepov« zajema dva različna načina (postopka) prepoznave posameznika:

  1. postopek, s katerim se ugotavljajo lastnosti posameznika, tako da se lahko izvrši njegova identifikacija;
  2. postopek, s katerim se primerjajo lastnosti posameznika, tako da se lahko preveri njegova identiteta oziroma istovetnost

Iz tega je razvidno, da zakon sicer loči med izvrševanjem identifikacije (prepoznava) in preverjanjem identitete posameznika (istovetnost ali avtentikacija), vendar za oba postopka uporablja enoten termin – biometrijski ukrep.

Identifikacija išče odgovor na vprašanje »Kdo sem? (Who am I?)«, avtentikacija pa na vprašanje »Ali sem tisti, za katerega se predstavljam? (Am I the one I pretend to be?)«.

Razliko lahko pojasnimo tudi drugače. Postopek preverjanja identitete (avtentikacija) ugotavlja, ali je oseba res ta, za katero se izdaja. Oseba mora najprej sistemu sporočiti, za koga se izdaja. To stori npr. z brezkontaktno kartico ali z vnosom osebnega gesla in hkrati ponudi tudi svojo biometrično značilnost (npr. prstni odtis). Sistem nato izvede primerjavo med to ponujeno biometrično značilnostjo in že prej shranjenim biometričnim podatkom, ki pripada tistemu, za katerega se sedaj ta oseba izdaja. Sistem izvede torej primerjavo 1:1 in lahko odgovori le z DA ali NE. Torej ali je oseba res ta, za katero se izdaja, ali pa to ni. Na ta način se torej preveri identiteta.

Postopek identifikacije poteka drugače. V tem postopku se ne preverja, ali je oseba res ta, za katero se izdaja, temveč sistem sam ugotavlja identiteto osebe. Oseba zgolj ponudi biometrično značilnost in sistem poišče v bazi že prej shranjenih biometričnih podatkov ustrezen par. Če ga najde, se identifikacija izvrši, drugače ne. Izvede torej 1:N operacijo, pri čemer N predstavlja vse že prej shranjene biometrične podatke.

Sistem identifikacije vedno vključuje centralno zbirko biometričnih podatkov, sistem avtentikacije pa ne nujno. Tipičen primer sistema identifikacije je iskanje storilcev kaznivih dejanj na podlagi npr. prstnih odtisov. Podatke o prstnem odtisu, najdenem na kraju zločina, vnesejo v sistem, ki jih nato primerja z vsemi že prej shranjenimi podatki. Če najde par, je oseba identificirana.

6. Zakaj je področje biometrije urejeno v Zakonu o varstvu osebnih podatkov?

Prstni odtis, podobno kot šarenica, očesna mrežnica, obraz ipd, so biometrični podatki in kot taki tudi nedvomno osebni podatki, saj gre za takšne značilnosti, ki so edinstvene in stalne za vsakega posameznika posebej in na podlagi katerih je oseba določena oziroma vsaj določljiva. Zato se vsakršno zbiranje, shranjevanje, pošiljanje, uničevanje ipd. teh podatkov šteje za obdelavo osebnih podatkov in posledično zanje veljajo določbe zakona, ki ureja varstvo osebnih podatkov, torej ZVOP-2.

7. Kaj pa vzorci (template), ki se uporabljajo v sodobnih biometrijskih sistemih. Ali gre tudi tu za osebne podatke?

Osebni podatek je katerikoli podatek, ki se nanaša na točno določeno ali vsaj določljivo osebo, ne glede na obliko, v kateri je izražen. Oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno ipd. identiteto, pri čemer je način identifikacije razumno dosegljiv ne samo upravljavcu temveč tudi kateri koli drugi osebi. Biometrični podatek je po naravi stvari vedno podatek, ki se nanaša na točno določeno ali vsaj določljivo osebo. Podatki o npr. prstnem odtisu vedno pripadajo točno določeni osebi.

 Ali to velja tudi za biometrične podatke, ki so shranjeni v reducirani, digitalizirani obliki (template)? Svet Evrope je v poročilu zapisal, da dilema ali so biometrični podatki vedno osebni podatki ali le, če so izpolnjeni določeni pogoji, ni relevantna. Namreč, če so biometrični podatki zbrani z namenom kasnejše avtomatske obdelave, vedno obstaja možnost, da bodo te podatki povezani z določeno ali določljivo osebo, kar ustreza definiciji osebnih podatkov.

 Kar velja za biometrične značilnosti kot take, velja tudi za digitalen zapis teh značilnosti, ki so sestavljeni na podlagi unikatnih značilnosti, ne glede na to kolikokrat in kako je ta zapis kasneje spremenjen. Ne glede na obliko, način zapisa ali drugo spremembo, ostane vedno tista edinstvena vez z osebo, četudi se morebiti količina podrobnosti v postopku transformacije zmanjšuje (At face value: on biometrical identification and privacy, Registratiekamer, September 1999, str. 36).

 Na podlagi tega lahko rečemo, da so biometrični podatki, četudi shranjeni v reducirani, digitalizirani obliki, vedno osebni podatki, saj se nanašajo na določeno ali vsaj določljivo osebo.

8. Ali se biometrične značilnosti vedno štejejo za občutljive osebne podatke oz. posebne vrste osebnih podatkov?

V uvodni izjavi št. 51 Splošne uredbe je izpostavljeno, da si posebno varstvo  zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine. Ti osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v Splošni uredbi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Obdelava fotografij se ne bi smela sistematično šteti za obdelavo posebnih vrst osebnih podatkov, saj spadajo v opredelitev biometričnih podatkov le, kadar so obdelane s posebnimi tehničnimi sredstvi, ki omogočajo edinstveno identifikacijo ali avtentikacijo posameznika.

Po določbi 14. točke člena 4 Splošne uredbe izraz »biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki. Splošna uredba nima posebne definicije posebnih vrst osebnih podatkov, temveč člen 9 Splošne uredbe glede obdelave posebnih vrst osebnih podatkov določa, da sta prepovedani  obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

9. Biometrija in zdravstveno stanje?

Kot kažejo raziskave, se pri nekaterih ljudeh pojavlja strah, da bi lahko nekateri biometrični ukrepi bili zdravju škodljivi. V tej zvezi se omenja npr. uporaba infrardeče svetlobe pri snemanju očesne mrežnice ali infekcijski problemi pri skeniranju prstnih odtisov. Takšnih primerov v praksi ni veliko.

Bolj pomembni so podatki o zdravstvenem stanju, ki jih »skrivajo« biometrični podatki. Ti namreč lahko o osebi razkrijejo bistveno več, kot bi si ta oseba želela oziroma je pristala takrat, ko se je zbiranje izvedlo. Tako je mogoče na podlagi DNK vzorca ugotoviti ne le identiteto posameznika, temveč tudi njegovo zdravstveno stanje, morebitne genske okvare ipd. Znanstveniki s področja iridiologoje, vede, ki preučuje značilnosti očesne šarenice, pa trdijo, da se lahko tudi iz šarenice da razbrati zdravstveno stanje. Podobno velja glede identifikacije glasu. Glas poleg identifikacije lahko sporoča tudi čustveno stanje. To pa je s stališča varstva osebnih podatkov lahko problematično. Lahko si zamislimo primer, ko podjetje uvede kontrolo vstopa v prostor s pomočjo značilnosti glasu zaposlenih. Biometrični podatek (glas) se v tem primeru uporabi za preverjanje oziroma ugotavljanje identitete za namene vstopa v prostor. Predpostavimo nadalje, da podjetje kasneje prične uporabljati tako zbrane biometrične podatke tudi za preverjanje čustvenega stanja zaposlenih ali za stalno preverjanje njihove fizične lokacije. Podjetje bi torej uporabilo biometrične značilnosti za namene, ki so v neskladju z nameni zaradi katerih so bili zbrani. V tem primeru bi podjetje kršilo temeljno načelo zapisano v 5. členu Splošne uredbe, ki določa, da se osebni podatki ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju z nameni, zaradi katerih so se zbrali.

 Zdravstveno stanje je lahko tudi ovira za uporabo biometrije. To se zgodi pri osebah brez nekaterih biometričnih značilnosti (aniridia; “suh” prstni odtis oz. odtis brez značilnosti) ali tudi pri npr. poškodbah obraza, ko sistem za prepoznavo obraza (t.i. face recognition) več ne prepozna osebe.

10. Ali lahko v podjetju uvedemo biometrijo za evidentiranje delovnega časa zaposlenih?

Po določbi 83. člena ZVOP-2 se biometrijski ukrepi lahko izvajajo le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. S takšno določbo je zakonodajalec sledil načelu sorazmernosti in načelo konkretiziral glede obdelave posebne vrste osebnih podatkov, t.j. biometričnih podatkov ter s tem omejil možnosti prekomernih in neupravičenih posegov v zasebnost in dostojanstvo posameznika pri izvajanju biometrijskih ukrepov. Obstajati mora torej resnično upravičen razlog, ki terja, da je biometrično preverjanje oz. ugotavljanje identitete nujno potrebno in da namena, ki ga upravljavec zasleduje, ni mogoče doseči zadovoljivo tudi z drugimi načini preverjanja oz. ugotavljanja identitete, ki ne vključujejo posegov v zasebnost in dostojanstvo posameznika. Izjema je določa za javni sektor in sicer se v javnem sektorju lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. (5. odstavek 82. člena ZVOP-2). Slednje pomeni, da je za te namene potrebno pridobiti odločbo Informacijskega pooblaščenca,  posamezniki morajo biti o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave.

 Če torej podjetje, ki želi uvesti biometrijske ukrepe, ker so ti nujno potrebni za opravljanje dejavnosti, varnost ljudi ali premoženja, varovanje tajnih podatkov ali varovanje poslovne skrivnosti, za dosego teh namenov nujno potrebuje tudi biometrijsko evidentiranje delovnega časa in uspe dokazati, da so biometrijski ukrepi ne samo potrebni, temveč so nujno potrebni in, da zasledovanega namena ni mogoče doseči na drug način, ki je s stališča zasebnosti in dostojanstva zaposlenih manj škodljiv oziroma vsiljiv, potem se tudi evidentiranje delovnega časa lahko izvede z biometrijskimi ukrepi. Praksa pa kaže, da upravljavci uvajajo biometrijske ukrepe za evidentiranje delovnega časa zgolj zato, ker je takšen način bodisi bolj praktičen od sistema z brezkontaktnimi karticami ali pa želijo preprečiti zlorabe s posojanjem kartic, pri čemer slednji razlog zgolj pavšalno navedejo in ne ponudijo tudi dovolj dokazov, da je biometrijsko evidentiranje delovnega časa nujno potrebno za opravljanje dejavnosti, varnost ljudi ali premoženja, varovanje tajnih podatkov ali varovanje poslovne skrivnosti. Zgolj navajanje razlogov za uvedbo biometrije, brez ustrezne utemeljitve podprte z dokazi, ne zadosti pogojem iz zakona.

Na spletni strani Informacijskega pooblaščenca so objavljene povezave do odločb tujih nadzornih organov za varstvo osebnih podatkov v zvezi z uvajanjem biometrijskih ukrepov na delovnem mestu.

11. Kaj naj delodajalec upošteva, če želi uvesti biometrijske ukrepe?

Ugotoviti mora, zakaj pravzaprav želi uvesti biometrijske ukrepe, torej kakšni so nameni, ki jih želi s tem doseči. Te nameni morajo biti resni, utemeljeni in podprti z dokazi, predvsem pa mora presoditi ali so nujno potrebni za opravljanje dejavnosti, varovanje premoženja, ljudi ali za varovanje tajnih podatkov ali poslovnih skrivnosti. Pred uvedbo biometrijskih ukrepov mora skrbno pretehtati ali bi drug način preverjanja identitete, ki ne vključuje biometrije, zadovoljivo dosegel namen, ki ga zasleduje.

Preden zaprosi Informacijskega pooblaščenca za izdajo odločbo za odobritev izvajanja biometrijskih ukrepov, se  mora odločiti, kakšen sistem bo uvedel. Ali bodo biometrični podatki shranjeni centralno, razpršeno (npr. na kartici, ki jo ima vsak zaposleni) ali bo sistem temeljil na identifikaciji ali avtentikaciji itn. Bolj, ko sistem posega v zasebnost posameznika (vključuje tudi vprašanje možnosti zlorab), bolj resen in utemeljen razlog za uvedbo biometrijskih ukrepov mora upravljavec imeti. To vključuje tudi tehnične vidike.

Irski nadzorni organ za varstvo osebnih podatkov je na svoji spletni strani (www.dataprotection.ie) objavil več zelo dobrodošlih vprašanj, na katera bi moral delodajalec odgovoriti pred uvedbo biometrijskih ukrepov:

  1. Ali že imamo vzpostavljen sistem za evidentiranje prisotnosti zaposlenih na delu in/ali sistem za kontrolo vstopov v prostore?
  2. Zakaj ga želimo zamenjati?
  3. Kakšne so poglavitne slabosti tega sistema?
  4. Ali so slabosti posledica nepopolnega izvajanja ali so neločljivo povezane z naravo samega sistema?
  5. Ali smo preverili več različnih tipov sistemov, ki bi prišli v poštev za naše potrebe?
  6. Ali bi sistemi, ki ne vključujejo biometrijskih ukrepov, zadovoljivo izpolnili naše potrebe?
  7. Ali potrebujemo sistem, ki vključuje biometrijske ukrepe?
  8. Če ga potrebujemo, kakšne vrste sistema potrebujemo?
  9. Ali potrebujemo sistem, ki temelji na ugotavljanju identitete, ali sistem, ki temelji na preverjanju identitete (avtentikacija)?
  10. Ali potrebujemo centralno zbirko biometričnih podatkov?
  11. Ali bi lahko sistem temeljil tudi na decentraliziranem shranjevanju biometričnih podatkov?
  12. Kakšne namene pravzaprav želimo doseči z biometrijskimi ukrepi?
  13. Ali ga potrebujemo za evidentiranje prisotnosti zaposlenih na delu ali/in za kontrolo vstopa v prostore (fizične in informacijske)?
  14. Kako natančno želim zajeti biometrične podatke?
  15. Kakšni so postopki za zagotavljanje točnosti in ažurnosti biometričnih podatkov?
  16. Ali je biometrične podatke, ki jih bomo shranjevali, potrebno ažurirati?
  17. Kakšni so postopki in načini za zavarovanje biometričnih podatkov?
  18. Kdo bo imel dostop do biometričnih podatkov?
  19. Zakaj, kdaj in pod katerimi pogoji bo do teh podatkov mogoč dostop?
  20. Kaj se bo štelo za zlorabo sistema s strani zaposlenih?
  21. Kakšne bodo postopki za ugotavljanje ali je šlo za zlorabo ali le za napako?
  22. Ali bo sistem poleg biometrijskih ukrepov temeljil še na kakšnem dodatnem načinu ugotavljanju oz. preverjanju identitete (osebna gesla, brezkontaktne kartice ipd.)
  23. Če bo, ali bi ti dodatni načini ugotavljanja oz. preverjanja identitete zadovoljivo izpolnili namene, ki jih zasledujemo tudi brez biometrijskih ukrepov?
  24. Kako bomo obvestili vse zaposlene o uvedbi biometrijskih ukrepov?
  25. Katere informacije bomo posredovali zaposlenim?

Na koncu pa še nasvet, ki sicer ni strogo vezan na varstvo osebnih podatkov, je pa gotovo dobrodošel za ohranitev vsaj delčka humanosti tudi na delovnem  mestu. Delodajalec naj upošteva tudi, da morajo biti pravice zaposlenega, ki je v prvi vrsti človek in ne zgolj delavec, spoštovane tudi na delovnem mestu in da številne raziskave kažejo, da pretirano uvajanje nadzora nad zaposlenimi ne škoduje samo zaposlenim temveč škoduje tudi uspehu podjetja. Tako se je npr. v raziskavah opravljenih v Kanadi (predstavljene na konferenci Infonex 2001 - Reasobleness in the Context of Workplace Privacy) pokazalo, da obstaja tesna povezanost med nadzorom zaposlenih in stresom in da je to v končni posledici dražje za podjetje zaradi bolniških odsotnosti in tudi zaradi predčasnih odhodov delavcev iz podjetja. Izkušnje namreč potrjujejo, da je v delovnih okoljih koristneje sredstva nameniti razvijanju primernih medosebnih odnosov, vzpostavljanju spodbudnega delovnega okolja, zaupanju ter krepitvi pripadnosti kolektivu, kakor pa vseobsežnemu nadzoru zaposlenih s tehničnimi sredstvi. Ali v drugih besedah: Za reševanje družbenih težav ne bi smeli uporabljati tehničnih sredstev“ (v originalu: We should not be trying to use technical solutions to solve a social problem). Nadzor v kolektiv vnaša nemir in nezadovoljstvo ter ruši zaupanje in pozitivno vzdušje. Primeri iz ameriške in evropske sodne prakse dokazujejo, da prihaja tudi do zlorab nadzornih sistemov s strani nadrejenih (Aljaž Marn, Dnevnik nove ekonomije).

Na spletni strani Informacijskega pooblaščenca so objavljene povezave do odločb tujih nadzornih organov za varstvo osebnih podatkov v zvezi z uvajanjem biometrijskih ukrepov na delovnem mestu.

12. Ali lahko uvedete biometrijske ukrepe nad osebami, ki niso zaposlene v vašem podjetju?

ZVOP-2 je glede  je glede tega v primerjavi z ZVOP-1 bolj odprt in tovrstne izrecne omejitve ne vsebuje več, ob določenih pogojih je mogoče biometrijske ukrepe uporabljati tudi nad strankami - glejte pogoje za uvedbo biometrijskih ukrepov, kot so opisani zgoraj.

14. Zakaj so biometrijski ukrepi v zasebnem sektorju podvrženi presoji Informacijskega pooblaščenca? Ali ne gre za še eno birokratsko oviro in neupravičeno omejevanje zasebnega sektorja?

Zavedati se je potrebno, da biometrija ni le metoda ugotavljanja oz. preverjanja identitete, temveč je tehnologija, ki za svoj cilj uporablja človeško telo oziroma tiste telesne in vedenjske značilnosti vseh nas, ki so nespremenljive in samo nam lastne. Predvsem pri proizvajalcih in prodajalcih biometričnih sistemov obstaja zelo močna tendenca po trivializaciji zbiranja podatkov o človeških telesnih in vedenjskih značilnosti. Če pustimo ob strani vprašanja, ki so povezana s temeljno človekovo pravico do telesne celovitosti in dostojanstva, ima nekritična in nekontrolirana uporaba biometrije lahko zelo realne in resne posledice za vsakega posameznika. Naša zasebnost je lahko resno ogrožena zaradi nepotrebnega ali neavtoriziranega zbiranja, uporabe, neprimernega shranjevanja, povezovanja ali posredovanja naših osebnih podatkov. Četudi proizvajalci zatrjujejo, da do zlorab praktično ne more priti, pa nas zgodovina vedno znova opominja, da noben sitem ni nezlomljiv. Zakaj bi bili biometrijski sistemi izjema?

Proizvajalci biometričnih sistemov zatrjujejo, da njihovi sistemi shranjujejo predloge (template), t.j. reducirane, digitalizirane oblike biometričnih značilnosti, na takšen način, da rekonstrukcija izvirnih podatkov ni več mogoča. Trdijo, da unikatne značilnosti o npr. prstnem odtisu sistem zajame, jih obdela in pretovori v predlogo, na podlagi katere ni več mogoče ugotoviti, kateri osebi pripada. To utemeljujejo s tem, da so izvirni biometrični podatki zaščiteni z njihovim lastnim algoritmom, ki onemogoča rekonstrukcijo biometričnih značilnosti. Takšna trditev pa je s stališča informacijske varnosti vprašljiva vsaj iz dveh vidikov.

 Prvi vidik je povezan z vprašanjem ali je rekonstrukcija biometričnih značilnosti iz predloge mogoča oziroma ali je mogoče razvozlati (razbiti) algoritem, ki je biometrične podatke »zakodiral«. Če poiščemo vzporednice v kriptografskih algoritmih, so praviloma najbolj varni algoritmi tisti, ki so izpostavljeni javni presoji in so na voljo vsakomur, ki jih poskuša razbiti z vsemi sredstvi, ki so mu na voljo. Za algoritem ali metodo lahko rečemo, da je varna le, če so strokovnjaki lahko preizkusili njeno nezlomljivost in ugotovili, da se brez izjemno velikih sredstev ali časa tega ne da narediti z obstoječo tehnologijo. Algoritmi in postopki lastniške ali skrite narave takšni presoji niso podvrženi in je zato težko soditi, kako varni in nezlomljivi dejansko so. Varstvo osebnih podatkov ne more temeljiti na tajnosti algoritmov ali nedostopnosti strojne opreme. Varnostni mehanizmi v tem primeru predpostavljajo nevednost napadalcev, kar je pa na današnji stopnji razvoja iluzorno pričakovati. Več o možnosti rekonstrukcije izvirnih biometričnih podatkov najdete tukaj.

 Drugi vidiki pa je povezan z vprašanjem, ali je preprečitev rekonstrukcije izvirnih biometričnih podatkov res odločilna pri zagotavljanju zasebnosti posameznikov. Namreč, proizvajalci biometrijskih naprav se pogosto sklicujejo na trditve, da je zasebnost uporabnikov zagotovljena že s tem, ko iz predloge ni možna restavracija npr. prstnega odtisa. Predpostavimo za trenutek, da to drži. Predpostavimo, da rekonstrukcija izvirnih podatkov resnično ni možna. Četudi je to res, pa zasebnost uporabnika vseeno še ni zagotovljena, saj sta tako vzorec prstnega odtisa kot njegov vzorec v digitalni obliki enolična identifikatorja in tako surogata identitete posameznika. Predstavljajmo si scenarij, ko bi namesto predložitve našega biometrijskega podatka sistem zahteval npr. dvakratnik naše EMŠO. Vprašanje razbitja algoritma in rekonstrukcije izvirnih podatkov je irelevantno, ne glede na to ali se uporablja zelo enostaven algoritem (dvakratnik nekega števila) ali sofisticirano matematično metodo. Ključna vprašanja s stališča zasebnosti posameznika so povezana z uporabo, povezljivostjo in varnostjo tovrstnega identifikatorja. Napadalec bi isti namen lažje dosegel s pridobitvijo latentnega prstnega odtisa (npr. na kozarcu), kot z vlaganjem velikega napora, sredstev, znanja in časa v razbitje algoritma in s tem pridobitve izvirnih podatkov.

 Državni nadzorni organi za varstvo osebnih podatkov se vse prepogosto srečujejo s primeri, ko se osebni podatki prvotno zbirajo z enim namenom, a se kasneje uporabljajo s povsem drugimi. Druga zelo pomembna izkušnja državnih nadzornih organov je, da večina posameznikov ne ceni svoje zasebnosti, dokler ni kompromitirana. In ko se to zgodi, mora posameznik znova in znova vlagati napore, da zasebnost ohranja. Težko bi trdili, da je uporaba biometričnih podatkov na to kakorkoli imuna.

Vprašanja varstva osebnih podatkov pri uporabi biometrije so dovolj zgovorno pojasnjena tudi v tej prezentaciji.

 Če biometrijo presojamo zgolj z vidika varstva zasebnosti, lahko rečemo, da biometrija ni ne grožnja zasebnosti ne njen varuh, natanko tako, kot to velja za vse druge tehnologije. Odločilna je uporaba tehnologije.  Biometrija namreč lahko služi tudi večanju varstva zasebnosti, če je seveda izvedena v skladu s temeljnimi načeli in pravili varstva osebnih podatkov (načelo sorazmernosti, transparentnosti, namenskosti, ustreznem zavarovanju podatkov itd.). Splošna uredba v uvodni izjavi št. 53  in v 4. odstavku člena 9 določa, da imajo države članice možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju. Slovenski zakonodajalec se je odločil, da takšno predhodno preverjanje odredi za izvajanje biometrijskih ukrepov. Informacijski pooblaščenec, mora zato celovito presoditi, ali je uvajanje biometrijskih ukrepov v skladu s temi načeli in pravili varstva osebnih podatkov. Pri presoji uporabe posamezne tehnologije Informacijski pooblaščenec tehta poleg namena, ki ga zasleduje upravljavec osebnih podatkov, tudi določene tehnične lastnosti nameravanih biometrijskih ukrepov, predvsem tiste, ki nakazujejo stopnjo tveganja uporabe določene biometrijske tehnologije, kot so odkritost/prikritost, puščanje sledov, možnosti povezovanja, možnost nadzora nad svojimi osebnimi podatki, (de)centralizirano hrambo in drugo.

Poudariti velja tudi, da nimajo vse biometrijske tehnologije enakih implikacij na zasebnost – prepoznava obrazov posameznikov na javnih površin vsekakor predstavlja občutnejši poseg kot prepoznava prstnih odtisov pri vstopu v sistemsko sobo posameznega upravljavca. Zlasti prepoznava obrazov na javnih površinah se v zadnjem času kaže kot zelo nevarna za posege v celo vrsto temeljnih pravic in svoboščin (glej npr. skupno izjavo Evropskega nadzornika za varstvo podatkov in Evropskega odbora za varstvo podatkov – »Evropski odbor za varstvo podatkov in Evropski nadzornik za varstvo podatkov pozivata k prepovedi uporabe umetne inteligence za avtomatizirano prepoznavanje človekovih značilnosti v javno dostopnih prostorih in nekaterih drugih načinov uporabe umetne inteligence«, dostopno na: https://edpb.europa.eu/news/news/2021/edpb-edps-call-ban-use-ai-automated-recognition-human-features-publicly-accessible_sl  ter smernice Evropskega odbora o prepoznavi obrazov, dostopno na: https://edpb.europa.eu/system/files/2022-05/edpb-guidelines_202205_frtlawenforcement_en_1.pdf).

15. Ali je potrebno pridobiti dovoljenje tudi za uporabo npr. biometričnih ključavnic v zasebni hiši, računalniku, GSM aparatu?

Ker obdelava osebnih podatkov za domače potrebe ne predstavlja takšnih tveganj s stališča zasebnosti posameznika, je zakonodajalec v 3. členu ZVOP-2 predvidel generalno izjemo, ki določa, da se določbe ZVOP-2 ne uporabljajo za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe. Biometrične ključavnice na domačih vratih, računalniku ali na drugih napravah, ki se uporabljajo za osebno uporabo, vključujejo tiste načine obdelave osebnih podatkov, za katere ZVOP-2 ne velja, in posledično za njihovo izvajanje ni potrebno pridobiti dovoljenja Informacijskega pooblaščenca.

Poleg tega tovrstne naprave shranjujejo biometrične podatke na takšen način, da ni razvidno kateri osebi pripadajo oziroma jih shranjujejo tako, da se načeloma ne vzpostavlja zbirka osebnih podatkov. Tudi zaradi tega razloga ZVOP-2 v teh primerih ne pride v poštev in posledično za takšno uporabo ni potrebno dovoljenje Informacijskega pooblaščenca.