Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 19.11.2019
Naslov: Video identifikacija
Številka: 0712-1/2019/2637
Vsebina: Biometrija, Delovna razmerja, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede izvajanja video identifikacij na delovnem mestu.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v okviru mnenja presojati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Iz vašega zaprosila tudi niso razvidne podrobnejše informacije glede izvajanja video identifikacije, zato IP v nadaljevanju podaja splošna pojasnila v zvezi z njenim izvajanjem.

IP uvodoma pojasnjuje, da Splošna uredba o varstvu podatkov v 14. točki 4. člena določa, da biometrični podatki pomenijo osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki. Glede na določbo četrtega odstavka 9. člena Splošne uredbe o varstvu podatkov lahko države članice ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

 

Obdelavo biometrijskih značilnosti posameznika oziroma biometrijskih ukrepov v RS ureja ZVOP-1, ki v 78. členu splošno določa, da se z obdelavo biometričnih značilnosti ugotavljajo ali primerjajo lastnosti posameznika, tako da se lahko izvrši njegova identifikacija oziroma preveri njegova identiteta (v nadaljnjem besedilu: biometrijski ukrepi) pod pogoji, ki jih določa ta zakon. Nato ZVOP-1 posebej ureja biometrijske ukrepe v javnem in zasebnem sektorju.

 

V javnem sektorju se v skladu z 79. členom ZVOP-1 lahko biometrijske ukrepe določi le z zakonom, če  je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi. Ne glede na omenjeno določbo se v javnem sektorju lahko uvedejo biometrijski ukrepi v zvezi z vstopom v stavbo ali dele stavbe in evidentiranjem prisotnosti zaposlenih na delu, ki se izvedejo ob smiselni uporabi drugega, tretjega in četrtega odstavka 80. člena ZVOP-1.

 

V zasebnem sektorju se v skladu z 80. členom ZVOP-1 biometrijski ukrepi lahko izvajajo le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe zasebni sektor lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu (v RS je to IP) opis nameravanih ukrepov in razloge za njihovo uvedbo. Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z ZVOP-1, predvsem s pogoji iz prvega stavka prvega odstavka 80. člena ZVOP-1. Rok se lahko podaljša za največ en mesec, če bi uvajanje teh ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku. Upravljavec osebnih podatkov sme izvajati biometrijske ukrepe po prejemu odločbe državnega nadzornega organa, s katero je izvajanje biometrijskih ukrepov dovoljeno.

 

Glede na navedene določbe ZVOP-1 privolitev oziroma soglasje posameznika torej ni možna podlaga za izvajanje biometrijskih ukrepov, temveč so pogoji za njihovo izvajanje določeni v ZVOP-1. V kolikor so zakonski pogoji za njihovo izvajanje izpolnjeni, delodajalcu ni potrebno pridobivati soglasja zaposlenih.

 

Kot navedeno, iz vašega zaprosila ne izhajajo podrobnejše informacije glede izvajanja video identifikacije. IP zato splošno pojasnjuje, da obstajajo tudi programske rešitve, ki delujejo na način, da se primerjava obraza izvede izključno na (mobilni) napravi v lasti posameznika, in sicer tako, da ne delodajalci ne njihovi ponudniki programskih rešitev (pogodbeni obdelovalci) ne vidijo, ne shranijo in ne obdelajo podobe obraza posameznika, temveč se po lokalno izvedeni primerjavi med obrazom na dokumentu in obrazom iz videa, ki ga posname posameznik (t.i. selfie video) delodajalcu posreduje zgolj podatek o tem, ali gre za pravega posameznika ali ne (ujemanje/ni ujemanja). V tem primeru ne pri delodajalcu ne pri njenih pogodbenih izvajalcih ne pride do vzpostavitve zbirke osebnih podatkov, saj se primerjava obrazov in s tem obdelava osebnih podatkov izvede izključno na napravi posameznika. Gre sicer za obdelavo osebnih podatkov posameznika, a pod nadzorom posameznika. Pogoj je seveda, da delodajalec zaupa programski rešitvi, da ta dovolj točno preveri oz. ugotovi istovetnost posameznika oz. ujemanje podobe na osebnem dokumentu s podobo na videoposnetku in da so preprečene možnosti nepooblaščenih posegov v delovanje rešitve. IP posebej opozarja, da tudi ponudnik programske rešitve (aplikacije) ne bi smel imeti več pooblastil kot delodajalec, torej tudi sam ne sme izvajati primerjave obrazov na svoji infrastrukturi, temveč mora to samostojno opraviti naprava posameznika.

 

IP sklepno ponavlja, da v okviru nezavezujočega mnenja ne more potrditi uporabe konkretnih rešitev in načinov obdelave osebnih podatkov, saj lahko to ugotovi le v okviru uvedenega inšpekcijskega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov (v konkretnem primeru na delodajalcu).

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka