Informacijski pooblaščenec (v nadaljevanju: IP) je prejel zaprosilo za mnenje glede uvedbe biometrijskih ukrepov v zasebnem sektorju.
IP podaja svoje neobvezujoče mnenje:
IP v okviru neobvezujočega mnenja ne more presojati, ali bodo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank.
IP posebej opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2.
O b r a z l o ž i t e v:
IP pojasnjuje, da ZVOP-2 v prvem odstavku 83. člena določa, da se obdelava biometričnih osebnih podatkov v zasebnem sektorju lahko izvaja le v skladu z določbami 83. člena ZVOP-2, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2. V skladu z drugim odstavkom istega člena oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa drug zakon, če to posebej določa pogodba ali so stranke dale izrecno privolitev. IP pojasnjuje, da so navedeni pogoji alternativni in tako iz navedene določbe izhaja možnost, da se v zasebnem sektorju biometrični osebni podatki za namen varstva točnosti identitete strank pod pogoji iz tega člena izvajajo tudi na podlagi pogodbe. Drugi odstavek 83. člena ZVOP-2 določa še, da kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov. Tretji odstavek 83. člena ZVOP-2 pa določa, da se sme obdelava biometričnih osebnih podatkov v zasebnem sektorju izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
IP meni, da določba tretjega odstavka 83. člena ZVOP-2 sicer predstavlja samostojno pravno podlago za obdelavo biometričnih osebnih podatkov in da upravljavec za obdelavo po tretjem odstavku ni dolžan izpolnjevati tudi pogojev iz prvega oziroma drugega odstavka 83. člena ZVOP-2. IP pa ob tem ponavlja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru in tako ne more presojati, ali bodo v postopkih obdelave biometričnih osebnih podatkov strank, opisanih v vašem zaprosilu za mnenje, dejanja obdelave teh podatkov pod izključnim nadzorom ali izključno oblastjo strank (komitentov). V zvezi s tem IP nadalje pojasnjuje, da je IP v prenovljenih smernicah o biometriji že pojasnil, da iz obrazložitve predloga ZVOP-2 ni razbrati dodatnih pojasnil, kako tolmačiti, kdaj so »dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo«, vendar pa je treba tendenco zakonodajalca razumeti v smislu spodbujanja načela vgrajenega in privzetega varstva osebnih podatkov[1] iz 25. člena Splošne uredbe. Skladno s tem načelom je treba zagotoviti, da se zakonite cilje dosega na način, ki kar najmanj posega v zasebnost posameznikov – eden od takšnih prijemov je tudi izogibanje centralizirani hrambi osebnih podatkov in uveljavljanje močnejšega nadzora posameznika nad lastnimi osebnimi podatki, kot npr. na način, da se biometrični podatki ne hranijo v centraliziranih zbirkah in sistemih pri upravljavcu ali obdelovalcu, temveč na medijih ali napravah, ki so pod nadzorom posameznika (npr. mobilni telefon, osebni računalnik, USB ključki, kartice in podobno). V takšnih primerih se lahko preverjanje biometričnih značilnosti izvede na sami napravi posameznika in se upravljavcu sploh ne posredujejo biometrični podatki, temveč zgolj rezultat preverjanja (npr. »gre za pravo osebo/ne gre za pravo osebo«) in se ji posledično dovoli dostop do določenih sistemov oziroma se tako preveri/potrdi njena identiteta. Pri tem upravljavec ne zbere in ne shrani posameznikovih biometričnih podatkov, temveč zgolj rezultat preverjanja, ki se, kot rečeno, izvede »pod izključnim nadzorom ali izključno oblastjo« posameznika. ZVOP-2 za takšne primere implementacije biometrije omogoča določene olajševalne okoliščine za zavezance, zlasti v luči tega, da v tem primeru ni treba pridobiti predhodne pozitivne odločbe IP (ta izjema velja zgolj za zasebni sektor).
IP izpostavlja tudi vprašljivost uvedbe biometrijske avtentikacije kot edine dovoljene v točno določenih (dokaj številnih) primerih, ki jih navajate v vašem zaprosilu za mnenje. IP ob tem poudarja, da se tudi z uvedbo biometrijskih ukrepov namreč ne more v popolnosti onemogočiti zlorab, saj tudi ta sistem, kot vsak drug, ni brez varnostnih tveganj. Tudi biometrijski ukrepi namreč niso v celoti 100-odstotno zanesljivi, saj njihova uporaba pri določenih osebah ni možna (npr. zaradi poškodb ali neizrazitih značilnosti), obenem pa je vsak biometrijski sistem implementiran tako, da omogoča določeno stopnjo neujemanja (t.i. False Acceptance Rate - FAR in False Rejection Rate – FRR). Iz vašega zaprosila za mnenje sicer ni razvidno, katera rešitev (aplikacija) oziroma rešitve bodo dopustne za izvajanje biometrijskih ukrepov in kako se bo preverjal rezultat izvedene biometrijske obdelave.
IP posebej znova opozarja na določbo prvega odstavka 83. člena ZVOP-2, ki določa, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju potrjena v skladu z 52. členom ZVOP-2. Ob tem IP posebej pojasnjuje, da morajo biti dejanja obdelave biometričnih osebnih podatkov v zasebnem sektorju vselej potrjena v skladu z 52. členom ZVOP-2, torej ne glede na to, ali gre za primer, ko so dejanja obdelave biometričnih podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo, temveč v vsakem primeru, ko se izvaja biometrija v zasebnem sektorju. Obdelava pod izključnim nadzorom posameznika ob dodatnem pogoju pridobljenega potrdila po 52. členu torej omogoča (le) uveljavljanje izjeme glede pridobivanja odločbe IP, ne pa glede potrjevanja dejanj obdelave biometričnih osebnih podatkov.
Ob tem IP pojasnjuje še, da prehodna določba 121. člena ZVOP-2 določa, da Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024. Do začetka izvajanja postopkov akreditacije po ZVOP-2 se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, skladna z merili iz mehanizma potrjevanja. Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena ZVOP-2 vložijo v roku šestih mesecev po poteku roka iz prvega odstavka 121. člena ZVOP-2 (torej v roku šestih mescev od 1. 1. 2024). Obdelave, za katere je bila v tem roku dana vloga za akreditacijo (tu po mnenju IP ZVOP-2 sicer napačno uporabi izraz »akreditacija« in ima v mislih »potrjevanje«), se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024.
Celotno mnenje lahko preberete TUKAJ
Vir: Informacijski pooblaščenec