Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.10.2019
Naslov: Biometrijska prepoznava obrazov
Številka: 0712-1/2019/2475
Vsebina: Bančništvo, Biometrija, Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje in sicer imate vprašanje glede zakonskega okvira glede uporabe inovativnega plačilnega sistema, ki pri verifikaciji identitete strank temelji na obrazni biometriki. Kot navajate direktiva PDS2 državam članicam nalaga, da morajo vzpostaviti pravni okvir, ki ponudnikom plačilnih storitev nalaga obveznost močne avtentikacije stranke (Strong Customer Authentication" - "SCA") v primeru, da gre za dostop stranke do plačilnega računa preko spleta ali da stranka odredi elektronsko plačilno transakcijo (97. člen). Tehnične smernice glede “SCA” in dopolnjena PSD2 direktiva namreč predvidevajo tri možne načine verifikacije identitete stranke, pri čemer mora ponudnik plačilnih storitev uporabi vsaj dva od treh načinov. Prvi način je vezan na lastništvo (npr. pametni telefon), drugi način je vezan na znanje/vedenje (npr. PIN koda), tretji način pa je vezan na nekaj kar upornik je (npr. biometrika).

 

Kot pojasnjujete po vašem razumevanju GDPR prepoveduje obdelavo biometričnih podatkov za namene edinstvene identifikacije posameznika (1. odst. 9. člena GDPR), hkrati pa v 2. odstavku istega člena določa deset izjem, med katerimi je tudi sledeča v točki a) 2. odstavka: "posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka". 

 

Glede na navedeno menite, da je v zasebnem sektorju možna uvedba inovativnega plačilnega sistema, ki bi temeljil na obrazni biometriki za namen verifikacije identitete strank, če bi vsaka od strank podala izrecno privolitev k takšnemu procesiranju osebnih podatkov. Menite, da to še posebej velja, če je namen zbiranja in procesiranja biometričnih osebnih podatkov strank povezan izključno z plačilnim sistemom in s tem tovrstni način verifikacije predstavlja eno od treh možnosti avtentikacije strank, ki jih predvideva direktiva PSD2 in drugi akti, ki so bili izdani na osnovi omenjene direktive. Prosite nas za mnenje glede navedenega in za komentar, kaj se bo spremenilo po sprejetju ZVOP-2. 

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da Splošna uredba glede obdelave biometrijskih podatkov določa, da po 14. točki člena 4 Splošne uredbe biometrični podatki pomenijo osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki. Glede na določbo 4. odstavka člena 9 Splošne uredbe lahko države članice ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

 

Obdelavo biometrijskih značilnosti posameznika oz. biometrijskih ukrepov v RS ureja ZVOP-1, in sicer 80. člen ZVOP-1 določa naslednje:

 

  1. Zasebni sektor lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni.
  2. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu opis nameravanih ukrepov in razloge za njihovo uvedbo.
  3. Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu s tem zakonom, predvsem s pogoji iz prvega stavka prvega odstavka tega člena. Rok se lahko podaljša za največ en mesec, če bi uvajanje teh ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku.
  4. Upravljavec osebnih podatkov sme izvajati biometrijske ukrepe po prejemu odločbe iz prejšnjega odstavka, s katero je izvajanje biometrijskih ukrepov dovoljeno.
  5. Zoper odločbo državnega nadzornega organa iz tretjega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.

 

Glede na navedene določbe ZVOP-1 privolitev oziroma soglasje posameznika ni možna podlaga za uporabo biometrijskih ukrepov, med katere sodi tudi biometrijska prepoznava obrazov, temveč so pogoji določeni v 1. in 2. odstavku 80. člena ZVOP-1. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom mora upravljavec pridobiti predhodno dovoljenje IP (odločbo), upoštevati pa je treba tudi, da lahko upravljavec lahko izvaja biometrijske ukrepe le nad zaposlenimi in torej ne nad svojimi strankami (npr. komitenti).

 

Kot tudi sami ugotavljate Direktiva (EU) 2015/2366 (PSD2) državam članicam nalaga, da morajo vzpostaviti pravni okvir, ki ponudnikom plačilnih storitev nalaga obveznost močne avtentikacije stranke (Strong Customer Authentication" - "SCA"), v primeru da gre za dostop stranke do plačilnega računa preko spleta ali da stranka odredi elektronsko plačilno transakcijo (97. člen). Tehnične smernice glede tega in dopolnjena PSD2 direktiva predvidevajo tri možne načine verifikacije identitete stranke, pri čemer mora ponudnik plačilnih storitev uporabi vsaj dva od treh načinov.

 

Določbe PSD2 so bile v slovenski pravni pred prenesene z določbami Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED) in sicer 16. točka 4. člena ZPlaSSIED določa, da je močna avtentikacija strank avtentikacija z uporabo dveh ali več elementov, ki spadajo v kategorijo znanja uporabnika (nekaj, kar ve samo uporabnik), lastništva uporabnika (nekaj, kar je v izključni lasti uporabnika) in neločljive povezanosti z uporabnikom (nekaj, kar uporabnik je), ki so med seboj neodvisni, kar pomeni, da kršitev enega elementa ne zmanjšuje zanesljivosti drugih, in so zasnovani tako, da varujejo zaupnost podatkov, ki se preverjajo. Tako PSD2 kot ZPlaSSIED torej ne uvajata obvezne uporabe biometrijskih ukrepov, temveč so ti ukrepi lahko opcijski, kolikor zavezanec po ZPlaSSIED uporabi še enega od preostalih elementov avtentikacije. Glede na navedeno menimo, da uporaba biometrijskih ukrepov po ZPlaSSIED ni obvezna, države članice pa glede na določbe Splošne uredbe lahko ohranijo obstoječe ali uvedejo nove določbe glede uporabe biometrijskih ukrepov, zato za uporabo biometrijskih ukrepov v zasebnem sektorju v trenutku izdaje tega mnenja veljajo obstoječe določbe 80. člena  odstavka ZVOP-1, kot smo pojasnili zgoraj.

 

Glede ZVOP-2 pojasnjujemo, da v trenutku izdaje tega mnenja še ni sprejet, do sedaj javno dostopne verzije ZVOP-2, ki so bile v javni obravnavi, pa vsebujejo določbe, po katerih naj ne bi bila predvidena nekoliko drugačna ureditev biometrijskih ukrepov (predlagani 114. člen verzije za medresorsko usklajevanje z 20.8.2019):

 

https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208

 

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke