Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.01.2020
Naslov: Obdelava podatkov z osebne izkaznice
Številka: 07121-1/2020/88
Vsebina: Biometrija, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pošiljanja kopij osebne izkaznice.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene programske rešitve, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov. Presojo o ustreznosti namreč lahko izvede le v okviru konkretnega inšpekcijskega postopka.

 

IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih storitev, aplikacij ali drugih sistemov, ki jih uvajajo posamezna podjetja, z vidika njihove skladnosti z veljavnimi predpisi. IP namreč za to ni pristojen. Iz tega razloga presoje, ali obstaja kakršnokoli neskladje opisane rešitve s Splošno uredbo o varstvu podatkov, IP v okviru mnenja ne sme podati.

 

IP nadalje pojasnjuje, da mora upravljavec pred uvedbo aplikacije presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo potekale v okviru aplikacije. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov. Upravljavec je dolžan uporabnika, ki uporablja aplikacijo, seznaniti z aplikacijo, načinom njenega delovanja, namenom njene namestitve, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih  vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe o varstvu podatkov. Ob tem mora upravljavec poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe aplikacije. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen). Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Sama obdelava osebnih podatkov (torej tudi osebnih podatkov z osebne izkaznice) pa mora potekati na eni od pravnih podlag, kot jih določa 6. člen Splošne uredbe o varstvu podatkov, in sicer:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov uporabnikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru (potrditev identitete za izvedbo finančnih storitev).

 

Ravnanje z osebno izkaznico podrobneje ureja Zakon o osebni izkaznici (ZOIzk-1; Uradni list RS, št. 35/11). IP posebej izpostavlja določbo četrtega odstavka 4. člena ZOIzk-1, ki določa, da je za ugotavljanje istovetnosti in državljanstva dopusten vpogled v osebno izkaznico imetnika; kadar je to potrebno, pa tudi prepis osebnih podatkov z nje. Upoštevati je treba, da osebna izkaznica vsebuje posnetek obraza posameznika, ki ima že biometrične značilnosti. Zaradi nevarnosti zlorab in kraj identitete pa je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati izjemno previdno.

 

IP na podlagi navedenega sklepno pojasnjuje, da je upravljavec odgovoren za izbiro načina delovanja aplikacije in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o ukrepih, ki so potrebni za nemoteno in učinkovito delovanje aplikacije. V kolikor v konkretnem primeru ocenjuje, da je v ta namen potreben tudi ukrep, ki ga navajate v vašem zaprosilu (slikanje osebnega dokumenta), nosi tudi odgovornost za izbiro tega ukrepa. Če se kot potencialni uporabnik aplikacije ne strinjate z navedenim ukrepom, seveda lahko ne začnete uporabljati aplikacije oziroma morate imeti možnost, da jo prenehate uporabljati.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka