Kada govorimo o poslovanju, jedna od prvih primjena biometrijskih podataka je uzimanje otiska prsta, što je široko rasprostranjen način u evidenciji radnog vremena. U svijetu zaštite i povjerljivosti fizičkog pristupa, biometrijski podaci su u znatnoj mjeri u upotrebi zbog veće zaštite bilo kao jedina metoda identifikacije ili u kombinaciji sa više njih.
ŠTO SU BIOMETRIJSKI PODACI?
Biometrijski podaci su osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca.
Brojna su obilježja koja nas čine jedinstvenim i svaki od tih obilježja može biti predmet primjene u naprednim tehnološkim rješenjima. Najčešće su to sustavi za uzimanje otisaka prsta, prepoznavanje glasa i lica, ali to mogu biti i sustavi za očitavanje registarskih oznaka, prepoznavanje šarenice i mrežnice oka i naših navika poput karakteristika tipkanja ili podataka o našim sportskim aktivnostima.
Da bi se biometrijski podaci mogli smatrati osobnim podacima, mora podrazumijevati mjerenje tih obilježja, a da bi se obrada takvih podataka smatrala obradom posebnih kategorija osobnih podataka, mora obuhvaćati njihovu pohranu i uključivati jedinstvenu identifikaciju pojedinca.
GDPR I BIOMETRIJSKI PODACI
Obrada biometrijskih podataka kao posebne kategorije osobnih podataka u svrhu identifikacije pojedinca nije dozvoljena. Međutim, takva obrada se uz dodatne mjere zaštite ipak može provoditi onda kada je propisana zakonom ili ako postoji jedna od drugih predviđenih izuzeća Općom uredbom.
Zakonom o provedbi Opće uredbe u Republici Hrvatskoj je obrada biometrijskih osobnih podataka dozvoljena u tijelima javne vlasti i privatnom sektoru ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni i u tijelima javne vlasti ako je ona potrebna za ispunjenje obveza iz međunarodnih ugovora u vezi s identificiranjem pojedinca u prelasku državne granice. Kao jedna od obrada biometrijskih osobnih podataka koja je u navedenom zakonu specificirana svrhom je evidentiranje radnog vremena i radi ulaska i izlaska iz službenih prostorija. U tom slučaju prethodno je potrebno pribaviti izričitu privolu pojedinca te utvrditi alternativno rješenje takvoj obradi primjerice, ručno evidentiranje dolaska/odlaska na radno mjesto.
Bez obzira koja vrsta biometrijskih podataka se obrađuje, takva obrada je u svrhu identifikacije dozvoljena isključivo uz izričitu privolu pojedinca.
privola
osiguranje alternativnog rješenja
SIGURNOST BIOMETRIJSKIH OSOBNIH PODATAKA
procjena učinka na zaštitu podataka (DPIA)
mjere zaštite
brisanje podataka
Kada organizacija odlučuje o mogućnosti uvođenja biometrijske tehnologije nužno je provesti detaljnu procjenu rizika kako bi se utvrdilo da svrha uvođenja ne nadvladava prava pojedinaca. To zahtjeva pažljivu procjenu utjecaja takve tehnologije na temeljna prava i slobode te precizne provjere drugih sredstava s manjim utjecajem na privatnost pojedinca i minimalnim rizicima takve obrade.
Kada se utvrdi opravdanost uvođenja biometrijske tehnologije bitno je uspostaviti adekvatne mjere zaštite podataka koji se prikupljaju. Naime, biometrijski osobni podaci zahtijevaju dodatne mjere zaštite u pogledu njihove sigurnosti. To, između ostalog, znači da organizacija mora poduzeti sve potrebne mjere opreza kako bi očuvala dostupnost, cjelovitost i povjerljivost obrađenih podataka.
Prema Smjernicama Europskog odbora za zaštitu podataka potrebno je poduzeti mjere: kategorizacija podataka tijekom prijenosa i pohrane, pohrana biometrijskih predložaka i neobrađenih podataka ili podataka o identitetu u zasebnim bazama podataka, enkripcija biometrijskih podataka, a posebno biometrijskih predložaka, utvrđivanje politike za upravljanje enkripcijom i ključevima, uvođenje organizacijske i tehničke mjere za otkrivanje prijevara, pridruživanje koda za očuvanje cjelovitosti podataka (na primjer, potpis ili „hash”-funkcija) te zabrana vanjskog pristupa biometrijskim podatcima. Potrebno je osigurati razvoj takvih mjera usporedno s napretkom tehnologije.
Kada govorimo o sigurnosti obrade moramo spomenuti i važnost pravovremenog brisanja podataka posebice kada više nema zakonite osnove za njihovu obradu i onih prikupljenih podataka koji nisu neophodni za identifikaciju ili se ne mogu koristiti. Također, treba voditi računa o brisanju podataka i na kraju vijeka korištenja uređaja primjerice, kada se dotrajao uređaj zamjenjuje novim.
Uspostavljene mjere zaštite potrebno je dokumentirati u skladu s načelom pouzdanosti (članak 5. st. 2 GDPR) te redovito preispitivati i ažurirati te o tome voditi evidenciju.
