Uporaba prstnega odtisa pri vstopu v fitnes

23. 8. 2022

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel zaprosilo za mnenje, ali lahko fitnes center za potrebe vstopa v objekt in registracijo uporabi vaš prstni odtis? 

Podaje svoje neobvezujoče mnenje:

1.     Upravljavec iz zasebnega sektorja sme izvajati biometrijske ukrepe le nad svojimi zaposlenimi kadar je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Ne sme pa izvajati biometrijskih ukrepov nad obiskovalci fitnesa.

2.     Glede na trenutno veljavne določbe ZVOP-1 upravljavci iz zasebnega sektorja nimajo pravne podlage za shranjevanje biometričnih podatkov svojih strank oz. obiskovalcev na svojih strežnikih oz. v svojih zbirkah, temveč se lahko ti, kolikor se posameznik za to sam odloči in je o tem ustrezno obveščen, shranjujejo zgolj na napravi pod upravljanjem posameznika.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da je odgovornost za zakonito obdelavo osebnih podatkov vedno na upravljavcu osebnih podatkov, ki mora biti to zmožen tudi dokazati. IP izven postopka inšpekcijskega nadzora ali drugega upravnega postopka tako ne more podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov in zato tudi ne more podajati konkretnih ocen o tem, ali upravljavec izpolnjuje pogoje za obdelavo osebnih podatkov posameznikov (prstnih odtisov pri vstopu v fitnes) oz. ali je za tovrstno obdelavo zagotovil ustrezno in zakonito pravno podlago. S tega razloga vam v nadaljevanju posredujemo le nekaj splošnih pojasnil v zvezi z vašim vprašanjem.

Glede na vaše navedbe iz dopisa uvodoma ugotavljamo, da bi šlo lahko pri opisani obdelavi prstnih odtisov za namen vstopa oz. registracijo v fitnes centru za izvajanje biometrijskih ukrepov v zasebnem sektorju, v zvezi s čimer pride v poštev določba prvega odstavka 80. člena ZVOP-1.  Več o biometriji in biometrijskih ukrepih si lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prijava-biometrijskih-ukrepov

V zvezi s tem IP pojasnuje, da 80. člen ZVOP-1 določa, da lahko zasebni sektor (v konkretnem primeru fitnes center) izvaja biometrijske ukrepe le nad svojimi zaposlenimi, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Pri tem dodatno še določa, da morajo biti zaposleni predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, skladno z drugim odstavkom istega člena, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu (IP) opis nameravanih ukrepov in razloge za njihovo uvedbo. IP je po prejemu posredovanih informacij dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z ZVOP-1, predvsem s pogoji iz navedenega prvega odstavka. ZVOP-1 v tretjem odstavku 80. člena določa tudi, da se rok za izdajo odločbe IP lahko podaljša za največ en mesec, če bi uvajanje biometrijskih ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku.

Upravljavec iz zasebnega sektorja sme torej izvajati biometrijske ukrepe le kadar so kumulativno izpolnjeni naslednji pogoji:

1)    kadar je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti ;

2)    le nad svojimi zaposlenimi in samo če so bili predhodno o tem pisno obveščeni;

3)    kadar izvajanje določenih biometrijskih ukrepov ni urejeno z zakonom, mora upravljavec pred uvedbo ukrepov posredovati IP-ju opis nameravanih ukrepov in razloge za njihovo uvedbo, kjer biometrijske ukrepe izvaja lahko šele po prejemu odločbe IP, s katero je bilo izvajanje biometrijskih dovoljeno.

Pri presoji, ali so biometrijski ukrepi nujno potrebni za dosego namena, IP presoja tudi, ali bi namen, ki ga zasleduje upravljavec, lahko dosegel tudi z načini obdelave osebnih podatkov, ki manj posegajo v zasebnost zaposlenih.

Fitnes center kot upravljavec iz zasebnega sektorja glede na navedene določbe ne sme izvajati biometrijskih ukrepov nad obiskovalci fitnesa, vendar pa kolikor obdelava biometrijskih podatkov poteka zgolj in izključno pod nadzorom posameznika, npr. samo na njegovi napravi, in fitnes center ne shranjuje ali drugače obdeluje biometrijskih podatkov posameznika, ne gre za izvajanje biometrijskih ukrepov.

Celotno mnenje lahko preberete TUKAJ

Nazaj