V prejšnji kolumni smo pisali o biometriji kot tehnologiji, ki omogoča ugotavljanje oziroma preverjanje identitete na način, da se osredotoča na določene vedenjske oziroma telesne značilnosti posameznika (npr. prstni odtis).
Ugotovili smo, da je z uporabo te tehnologije neposredno povezana obdelava osebnih podatkov, pri čemer pa trčimo ob zakonodajo s tega področja, ki jo v slovenskem prostoru predstavljata GDPR in Zakon o varstvu osebnih podatkov (ZVOP-2).
O tem, kako vzpostaviti biometrične ukrepe v zasebnem sektorju, smo pisali v prejšnjem prispevku, tokrat pa si bomo ogledali izjemo, ki upravljavcem osebnih podatkov (v našem primeru je to podjetje oziroma organizacija, ki želi vzpostaviti uporabo biometrije v organizaciji) omogoča, da pričnejo z uporabo biometrije brez sicer obvezne pridobitve odločbe s strani Informacijskega pooblaščenca.
Uporaba izjeme po ZVOP-2 za vzpostavitev biometričnih ukrepov
ZVOP-2 v tretjem odstavku 83. člena določa, da je vzpostavitev biometričnih ukrepov v organizaciji mogoča brez odločbe Informacijskega pooblaščenca, kadar so "dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete".
Poglejmo si kako zadostit zgornjim pogojem in zahtevam, pri čemer se bomo osredotočili samo na zasebni sektor. Tukaj zakon uporabo omejuje na stranke organizacije oziroma podjetja, ki vzpostavlja biometrične ukrepe. Prav tako določa, da mora stranka takšno obdelavo izrecno dovoliti, obdelava pa je dovoljena za namen dokazovanja točnosti identitete.
To so torej omejitve, ki jih je potrebno upoštevati, ko gre za vzpostavitev biometričnih ukrepov po tej izjemi. Sedaj pa si poglejmo še pogoje. Zakon od upravljavcev zahteva, da zagotovijo, da so dejanja obdelave "pod njenim izključnim nadzorom" oziroma "pod njeno izključno oblastjo".
Kaj točno pojma predstavljata, v zakonu ni mogoče razbrati, vendar pa iz pojasnil Informacijskega pooblaščenca izhaja, da gre oba pogoja razlagati v smeri vgrajenega in privzetega varstva podatkov. Gre za zahtevo GDPR, ki izhaja iz 25. člena omenjene uredbe.
Vgrajeno in privzeto varstvo podatkov od upravljavcev zahteva, da inkorporirajo varstvo osebnih podatkov skozi celoten razvoj in potek poslovanja. Upravljavci naj torej svoje cilje zasledujejo na način, da bodo poskrbeli, da bodo izbirali tiste ukrepe, ki bodo najmanj invazivni za zasebnost posameznikov, hkrati pa naj ves čas zasledovanja ciljev, skrbijo za varnost tistih podatkov, ki jih resnično potrebujejo za izpolnitev cilja.
Kako lahko zgornja načela pretvorimo v uporabo biometrijskih ukrepov?
Eden tipičnih ukrepov, ki ga navaja tudi naš Informacijski pooblaščenec, lahko predstavlja izogibanje centralizirani hrambi osebnih podatkov s strani upravljavca, temveč naj se hramba zagotovi na napravah, ki so pod nadzorom posameznika (npr. mobilni telefon).
Poudariti je potrebno, da mora biti takšna rešitev potrjena s strani pristojnega nadzornega organa. Na tej točki Slovenija takšne potrditve še ni izpeljala, saj zaenkrat ni znano, kateri organ ter na kakšen način se bo potrjevanje izvajalo. V tem prehodnem času velja ureditev, da so dejanja upravljavcev skladna z merili mehanizma potrjevanja.
Uporaba zgornje izjeme torej upravljavcem omogoča, da uporabljajo biometrične ukrepe ne da bi pridobili pozitivno odločbo Informacijskega pooblaščenca. Ne glede na to ali vzpostavitev biometričnih ukrepov poteka preko potrditve s strani Informacijskega pooblaščenca ali s pomočjo izjeme pa je k tej rešitvi potrebno pristopiti odgovorno.