Z uveljavitvijo novega Zakona o varovanju osebnih podatkov ZVOP-2 so tudi slovenske organizacije pridobile možnost, da v svojih poslovnih procesih uporabijo biometrične tehnologije. Biometrični podatki se namreč zaradi edinstvenih značilnosti in stalnosti za vsakega posameznika štejejo kot osebni podatki, na osnovi katerih je oseba določena in določljiva.
Zakon pri biometrijskih ukrepih obravnava dva načina prepoznave posameznika, in sicer identifikacijo ter avtentikacijo, Pri prvem gre za ugotavljanje lastnosti posameznika, da se lahko izvrši njegova identifikacija, pri drugem pa gre za primerjavo lastnosti posameznika, da se lahko preveri njegova identiteta oziroma istovetnost. V našem primeru se bomo ukvarjali z biometrično avtentikacijo oziroma verifikacijo oseb, z namenom uporabe digitalnih storitev za končne kupce ter organizacije. Kar se tiče osebnih podatkov zakonodaja ne loči med obema tipoma poslovanja, saj pri obeh primerih v postopkih nastopajo fizične osebe z osebnimi podatki.
Zakaj je biometrična avtentikacija sploh aktualna
Biometrična avtentikacija je smiselna za pridobivanje pravic do uporabe komercialne digitalne storitve, kjer se shranjujejo in obdelujejo osebni ter drugi občutljivi podatki. Primeri takšnih digitalnih storitev so odpiranje bančnega ali trgovalnega računa, elektronske denarnice, spletne igre na srečo, pridobitev kreditne kartice, sklenitev kreditne pogodbe oziroma življenjskega zavarovanja na daljavo, trgovanje z delnicami in vrednostnimi papirji, dostop do revizijskih podatkov, oddaljene notarske storitve in podobno. Pravzaprav gre za digitalne storitve, ki nastopajo v dejavnostih, kot jih opredeljuje Zakon o preprečevanju pranja denarja in financiranja terorizma, ter za storitve javne uprave oziroma javnih ustanov. Te storitve namreč zahtevajo najvišjo raven zaupanja, za katere se je do nedavnega lahko izvajalo samo preverjanje identitete osebe preko fizičnega preverjanja v poslovalnici.
Visoko raven zaupanja pa vse pogosteje zahtevajo tudi partnerji v dobavnih verigah. Podjetja namreč želijo vedeti, s kom poslujejo in po drugi strani zmanjšati operativna tveganja pri tekočem med organizacijskem poslovanju. Pri tem nudijo svojim partnerjem različne digitalne storitve, na primer spletne aplikacije za konfiguracijo in naročanje izdelkov, oddaljeno podpisovanje pogodb, prevzemanje tehnične dokumentacije za proizvodnjo ali recimo storitve e-dražb.
Temeljne zakonske zahteve za biometrijo
V Sloveniji biometrijske ukrepe ureja Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), od 81. do 84. člena. Naj poudarimo, da je obdelava biometričnih osebnih podatkov v nasprotju z določbami tega poglavja ZVOP-2 izrecno prepovedana. Še več, ZVOP-2 določa pogoje tudi za obdelavo biometričnih podatkov po drugih zakonih, pri čemer lahko uporabo biometričnih osebnih podatkov tudi omeji. V splošnem velja, da je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti.
Biometrija v zasebnem sektorju
Uporabo biometrijskih ukrepov pri poslovanju podjetij, kot je recimo oddaljena biometrična verifikacija na osnovi biometrične fotografije obraza, podrobneje opredeljuje 83. člen ZVOP-2. V splošnem velja, da se lahko obdelava biometričnih osebnih podatkov v zasebnem sektorju izvaja le, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti.
Vendar v povezavi z identitetami zakon pravi, da lahko oseba zasebnega sektorja obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Zakon takšne obdelave dopušča v primeru, če za namene varovanja interesov iz prejšnjega odstavka to določa drug zakon, če to posebej določa pogodba ali so stranke dale privolitev. Kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov.
Dovoljenje za obdelavo
Obdelave biometričnih osebnih podatkov se smejo izvajati tudi ob pogoju, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi Informacijskega pooblaščenca. Poleg tega morajo omogočiti stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete. Posamezniki morajo biti o obdelavi biometričnih osebnih podatkov obveščeni pred začetkom obdelave. Kadar gre za zaposlene, na primer za potrebe evidence delovnega časa, kontrole pristopa ali za uporabo lastnih poslovnih informacijskih storitev pa mora upravljavec z njimi izvesti predhodno posvetovanje o sorazmernosti obdelave.
Preverjanje in potrjevanje obdelav biometričnih podatkov
Vsa dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom tega zakona. V Sloveniji seznam potrjevalnih mehanizmov upravlja Informacijski pooblaščenec. Potrjene rešitve za biometrično avtentikacijo bodo v Sloveniji na voljo sicer šele leta 2024, vendar je podjetjem sedaj na voljo enoletno prehodno obdobje, v katerem lahko že uporabijo še ne certificirane rešitve.
Delovanje in uporabo teh rešitev preverjajo nadzorniki urada Informacijskega pooblaščenca, pri čemer pa se postopki nadzora razlikujejo v primeru, ali gre za postopek obdelave biometričnih podatkov, ki ga ima posameznik pod svojim izključnim nadzorom ali izključno oblastjo ali gre za za shranjevanje biometričnih podatkov v evidencah.
Prvi postopek vključuje proces avtentikacije osebe, kot ga recimo omogoča storitev Verified by Photko. Ta storitev izvede voden postopek zajema in preverjanja biometričnih podatkov iz video posnetka in biometričnega osebnega dokumenta, s pomočjo uporabnikovega pametnega mobilnega telefona. Storitev shrani biometrične podatke le za potrebe postopka preverjanja in jih ob zaključku postopka samodejno izbriše. Za uporabo storitve, kot je Verified by Photko, je v prehodnem obdobju dovolj potrditev skladnosti s strani Informacijskega pooblaščenca, ki jo je ta storitev tudi že pridobila.
Za shranjevanje biometričnih podatkov in nadaljnje obdelave pa mora organizacija poleg potrdila o skladnosti pridobiti tudi dovoljenje informacijskega pooblaščenca. Naj izpostavimo, da se pri kršitvah uporabljajo globe, kot jih določa Splošna uredba in so lahko astronomsko visoke!
Povezovanje zbirk biometričnih osebnih podatkov
Že po Splošni uredbi o varstvu podatkov (GDPR) je prepovedano povezovati zbirke biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov. ZVOP-2 sicer dovoljuje nekaj izjem: to je možno v primeru, da povezovanje oziroma prenosljivost določa drug zakon oziroma, da posameznik, na katerega se nanašajo biometrični podatki v takšne dejavnosti izrecno privoli.
Poleg tega je prepovedano pridobivanje biometričnih osebnih podatkov pri trženju. V okviru trženja ali podobne druge poslovne dejavnosti se torej ne sme zahtevati, pridobiti ali nadalje obdelovati biometričnih osebnih podatkov v zamenjavo za določene storitve, četudi so te storitve za posameznika, na katerega se nanašajo osebni podatki, brezplačne.
Morda se na prvi pogled zdi, da zakonski okvir za uporabo oddaljene biometrične avtentikacije otežuje uporabo biometrijskih ukrepov. Vendar se v praski potrjuje, da so prav takšne omejitve smiselne in dobrodošle, saj se nanašajo na uporabo podatkov takšne vrste osebnih podatkov, ki jih ljudje po večini ne želimo deliti. Po drugi strani uporabniki digitalnih storitev pričakujejo, da ponudniki z njihovimi biometričnimi osebnimi podatki ravnajo varno in odgovorno, kar slednji lahko izkažejo samo s pridobitvijo ustreznih potrdil in dovoljenj. Zakonska ureditev je tako postavila pravila igre in omogočila, da se igra lahko začne – v obojestransko korist ponudnikov digitalnih storitev in njihovih uporabnikov.
© E-RASTA 2023