Ana Antunićević
V tem prispevku se bomo osredotočili na ureditev obdelave biometričnih osebnih podatkov, skladno z Zakonom o varstvu osebnih podatkov (na kratko tudi ZVOP-2), ki velja v Sloveniji.
Ločeni ureditvi biometrije je posvečeno 4. poglavje ZVOP-2 z naslovom Obdelava osebnih podatkov z uporabo biometrije in genskih podatkov. Preden pa se posvetimo vsebini poglavja, je potrebno določiti, kaj biometrija sploh je in zakaj jo obravnavamo v okviru varstva osebnih podatkov.
"Biometrija je eden izmed načinov ugotavljanja oz. preverjanja identitete," povzema definicijo biometrije Informacijski pooblaščenec in nadaljuje, da gre pri biometriji za preverjanje identitete na podlagi neke vedenjske oziroma telesne značilnosti, ki je lastna samo tej osebi1. Ker torej pri uporabi biometrije obdelujemo značilnosti določene osebe, pri tem velikokrat trčimo tudi ob varstvo osebnih podatkov.
Biometrija po ZVOP-2
ZVOP-2 ureja biometrične ukrepe v členih 81 – 84, pri čemer v 81. členu najdemo splošne prepovedi, kot npr. prepoved povezovanja zbirk biometričnih osebnih podatkov z drugimi zbirkami. V nadaljevanju pa ZVOP-2 predpisuje način uporabe biometričnih ukrepov, pri čemer deli uporabo biometrije na zasebni in javni sektor.
V tem prispevku se bomo osredotočili zgolj na ureditev v zasebnem sektorju.
Uporabo v zasebnem sektorju določa 83. člen, ki pravi, da je obdelava biometričnih podatkov dovoljena le, "kadar je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti".
Dodatno je v zasebnem sektorju uporaba biometrije dopustna tudi "zaradi varstva točnosti identitete svojih strank." Tudi v tem primeru zakon določa omejitve, na podlagi katerih je takšna raba mogoča, in sicer kadar je to nujno potrebno zaradi opravljanja dejavnost oz. varnosti (kot opredeljeno zgoraj), kadar takšno obdelavo posebej določa pogodba ali pa kadar je bila pridobljena privolitev stranke.
Upravljavec sme vpeljati biometrične ukrepe šele po prejemu pozitivne odločbe s strani Informacijskega pooblaščenca
Kot vidimo, je nabor pravnih podlag ozek, saj ZVOP-2 določa, da je obdelava biometričnih osebnih podatkov dovoljena samo na podlagi zakona. Nekoliko širši nabor je zgolj v primeru, da gre za točnost identitete strank, kjer lahko upravljavec osebnih podatkov izbira med pravnimi podlagami: zakon, pogodbeno razmerje in privolitev posamične stranke.
Potrebno dovoljenje Informacijskega pooblaščenca
Po opredelitvi biometričnih ukrepov ter določitvi pravne podlage in namena obdelave pa je potrebno (še pred uporabo biometrije) pridobiti tudi dovoljenje Informacijskega pooblaščenca. Pri Informacijskem pooblaščencu so pripravili obrazec, ki ga lahko v ta namen uporabijo upravljavci. Po prejemu vseh informacij bo Informacijski pooblaščenec v roku 2 mesecev odločil o dovoljenosti uporabe biometrije. Upravljavec sme vpeljati biometrične ukrepe šele po prejemu pozitivne odločbe s strani Informacijskega pooblaščenca.
ZVOP-2 poleg zgoraj omenjene opcije, omogoča tudi izjemo, s katero se lahko upravljavci, ki želijo uporabiti biometrijo, izognejo potrjevanju takšne rešitve pri Informacijskem pooblaščencu, če jim uspe zagotoviti, da so vsa dejanja obdelave osebnih podatkov pod izključnim nadzorom ali izključno oblastjo posameznika, čigar podatke se obdeluje, o kateri bomo več govorili v naslednjem prispevku.
V tem prispevku pa je bila na kratko predstavljena postopkovna pot, ki jo mora prehoditi upravljavec, ki želi v svoji organizaciji uvesti obdelavo biometričnih podatkov.
