Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.07.2019
Naslov: Uporaba domofonije za nadzor dostopa
Številka: 0712-1/2019/1670
Vsebina: Delovna razmerja, Fotografije kot OP, Pravne podlage
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje. Kot pojasnjujete želite v poslovno stavbo uvesti sistem oddaljenega dostopa do sistemov kontrole pristopa in alarmnih sistemov v zgradbi izven obratovalnega časa zgradbe. Zaradi velikega števila zaposlenih v poslovni stavbi bi imelo pravico vstopa izven obratovalnega časa zgradbe le omejeno število uporabnikov - zaposlenih. Služba korporativne varnosti (dežurna 24/7) bi na podlagi klica na video domofon preverila osebo s podatki v tabeli, v kateri bi bili zbrani podatki o upravičencih-zaposlenih, preden bi oddaljeno izklopila alarm in osebi omogočila vstop v poslovno stavbo.

Od zaposlenih, ki bi imeli pravico takšnega dostopa, bi predhodno pridobili izjave, da se strinjajo z uporabo osebnih podatkov in slike za namene prepoznave. Za potrebe prepoznave bi sestavili Excel tabelo, v kateri bi bili navedeni osebno ime, nadstropje, v katerem zaposleni opravlja delo, in slika za prepoznavo.

Tabela bi bila shranjena na zaščitenem sektorskem disku, do katerega bi imelo dostop le vodstvo službe in strokovni sodelavci za varnost. Dostop do datoteke bi zaščiten z več ukrepi, ki ste jih opisali, a jih na tem mestu ne povzemamo. Prosite nas za mnenje, ali bi na tak način zadostili kriterijem Splošne uredbe o varstvu podatkov za potrebe zgoraj navedene uporabe?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da je primerno, da velike gospodarske družbe, za katere ni dvoma, da morajo imeti imenovano pooblaščeno osebo za varstvo podatkov na podlagi 37. člena Splošne uredbe, za mnenje najprej zaprosijo pooblaščeno osebo oziroma pravne službe. V primeru dvomov ali različnih stališč pa se vedno lahko obrnete na IP.

Kot ste pojasnili gre za nadzor dostopa do poslovne stavbe izven obratovalnega časa, kar je pomembna okoliščina, namen nadzora do poslovne stavbe pa je kot tak povsem legitimen. Dalje pojasnjujete, da gre za sistem oddaljenega dostopa do sistemov kontrole pristopa in alarmnih sistemov v zgradbi izven obratovalnega časa zgradbe in da bi zaradi velikega števila zaposlenih v poslovni stavbi imelo pravico vstopa izven obratovalnega časa zgradbe le omejeno število uporabnikov - zaposlenih.

Ukrepi za zagotovitev varnosti morajo biti sorazmerni s tveganji, ki jih prinaša določena situacija. V konkretnem primeru je, upoštevaje načelo sorazmernosti in minimizacije obdelave osebnih podatkov (člen 5 Splošne uredbe) treba določiti najmanjši obseg osebnih podatkov, ki bodo obdelovani za zasledovani namen obdelave. Kot ste pojasnili, bi za ta namen od zaposlenih pridobili podatke o osebnem imenu, nadstropju, v katerem zaposleni opravlja delo, in slike za prepoznavo. Menimo, da bi lahko zasledovane cilje dovolj učinkovito in brez nesorazmerno velikih stroškov ali ovir za poslovanje dosegli tudi brez zbiranja slike zaposlenih in sicer  z drugimi podatki, ki so manj podvrženi morebitni uporabi v druge namene, kljub dobronamernosti in omejenega namena uporabe. Med drugimi možnimi podatki, katere lahko preučite, so predvsem kode, gesla ali drugi podatki, s katerimi je mogoče preveriti istovetnost osebe ali pa s predložitvijo določenega fizičnega sredstva, s katerim se izkazuje istovetnost osebe, npr. kartice, ključka ipd. Z drugimi besedami, menimo,  da je v konkretnem primeru ob upoštevanju sorazmernosti namesto načina »kar sem«, torej izkazovanja posameznika s svojimi biometričnimi lastnosti, med katere sodi slika za namen enolične identifikacije, primerneje uporabiti ukrepe, ki sodijo pod način »kar vem« oz.  načelo »kar imam«, pri čemer je presoja, kateri konkretni ukrep bi izbrali, prepuščena vam.

Glede na navedeno menimo, da bi bilo glede na temeljna načela varstva osebnih podatkov, kot jih opredeljuje člen 5 Splošne uredbe, v konkretnem primeru zasledovane cilje mogoče enako učinkovito in brez nesorazmerno velikih stroškov ali ovir za poslovanje mogoče doseči tudi brez uporabe fotografij zaposlenih. Zaključno dodajamo še, da bi bila za obdelavo omenjenih osebnih podatkov (torej ime in priimek, nadstropje dela ter tretji preverbeni podatek, brez uporabe fotografije), v konkretnem primeru in za opisani namen, česar ne velja posploševati na druge okoliščine, lahko ob ustreznem informiranju zaposlenih (člen 13 Splošne uredbe) ter predvidenih ukrepih za varnost podatkov podana pravna podlaga zakonitih interesov (člen 61(f) Splošne uredbe).

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                                                                   

informacijska pooblaščenka

 

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke