Upotreba biometrijskih podataka je odavno preplavila tržište kroz različita pametna tehnološka rješenja. Tako danas gotovo ne postoji segment potrošačkog tehnološkog konzumerizma u kojem primjena biometrije nije zaživjela.

Kada govorimo o poslovanju, jedna od prvih primjena biometrijskih podataka je uzimanje otiska prsta, što je široko rasprostranjen način u evidenciji radnog vremena. U svijetu zaštite i povjerljivosti fizičkog pristupa, biometrijski podaci su u znatnoj mjeri u upotrebi zbog veće zaštite bilo kao jedina metoda identifikacije ili u kombinaciji sa više njih.

Što su biometrijski podaci?

Biometrijski podaci su osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca.

Brojna su obilježja koja nas čine jedinstvenim i svaki od tih obilježja može biti predmet primjene u naprednim tehnološkim rješenjima. Najčešće su to sustavi za uzimanje otisaka prsta, prepoznavanje glasa i lica, ali to mogu biti i sustavi za očitavanje registarskih oznaka, prepoznavanje šarenice i mrežnice oka i naših navika poput karakteristika tipkanja ili podataka o našim sportskim aktivnostima.

Da bi se biometrijski podaci mogli smatrati osobnim podacima, mora podrazumijevati mjerenje tih obilježja, a da bi se obrada takvih podataka smatrala obradom posebnih kategorija osobnih podataka, mora obuhvaćati njihovu pohranu i uključivati jedinstvenu identifikaciju pojedinca.

GDPR i biometrijski podaci

Obrada biometrijskih podataka kao posebne kategorije osobnih podataka u svrhu identifikacije pojedinca nije dozvoljena. Međutim, takva obrada se uz dodatne mjere zaštite ipak može provoditi onda kada je propisana zakonom ili ako postoji jedna od drugih predviđenih izuzeća Općom uredbom.

Zakonom o provedbi Opće uredbe u Republici Hrvatskoj je obrada biometrijskih osobnih podataka dozvoljena u tijelima javne vlasti i privatnom sektoru ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni i u tijelima javne vlasti ako je ona potrebna za ispunjenje obveza iz međunarodnih ugovora u vezi s identificiranjem pojedinca u prelasku državne granice.

Kao jedna od obrada biometrijskih osobnih podataka koja je u navedenom zakonu specificirana svrhom je evidentiranje radnog vremena i radi ulaska i izlaska iz službenih prostorija.

U tom slučaju prethodno je potrebno pribaviti izričitu privolu pojedinca te utvrditi alternativno rješenje takvoj obradi primjerice, ručno evidentiranje dolaska/odlaska na radno mjesto.

Bez obzira koja vrsta biometrijskih podataka se obrađuje, takva obrada je u svrhu identifikacije dozvoljena isključivo uz izričitu privolu pojedinca.

• privola
• osiguranje alternativnog rješenja

Sigurnost biometrijskih osobnih podataka

• procjena učinka na zaštitu podataka (DPIA)
• mjere zaštite
• brisanje podataka

Kada organizacija odlučuje o mogućnosti uvođenja biometrijske tehnologije nužno je provesti detaljnu procjenu rizika kako bi se utvrdilo da svrha uvođenja ne nadvladava prava pojedinaca. To zahtjeva pažljivu procjenu utjecaja takve tehnologije na temeljna prava i slobode te precizne provjere drugih sredstava s manjim utjecajem na privatnost pojedinca i minimalnim rizicima takve obrade.

Kada se utvrdi opravdanost uvođenja biometrijske tehnologije bitno je uspostaviti adekvatne mjere zaštite podataka koji se prikupljaju. Naime, biometrijski osobni podaci zahtijevaju dodatne mjere zaštite u pogledu njihove sigurnosti. To, između ostalog, znači da organizacija mora poduzeti sve potrebne mjere opreza kako bi očuvala dostupnost, cjelovitost i povjerljivost obrađenih podataka.

Prema Smjernicama Europskog odbora za zaštitu podataka potrebno je poduzeti mjere: kategorizacija podataka tijekom prijenosa i pohrane, pohrana biometrijskih predložaka i neobrađenih podataka ili podataka o identitetu u zasebnim bazama podataka, enkripcija biometrijskih podataka, a posebno biometrijskih predložaka, utvrđivanje politike za upravljanje enkripcijom i ključevima, uvođenje organizacijske i tehničke mjere za otkrivanje prijevara, pridruživanje koda za očuvanje cjelovitosti podataka (na primjer, potpis ili "hash"-funkcija) te zabrana vanjskog pristupa biometrijskim podatcima. Potrebno je osigurati razvoj takvih mjera usporedno s napretkom tehnologije.

Kada govorimo o sigurnosti obrade moramo spomenuti i važnost pravovremenog brisanja podataka posebice kada više nema zakonite osnove za njihovu obradu i onih prikupljenih podataka koji nisu neophodni za identifikaciju ili se ne mogu koristiti. Također, treba voditi računa o brisanju podataka i na kraju vijeka korištenja uređaja primjerice, kada se dotrajao uređaj zamjenjuje novim.

Uspostavljene mjere zaštite potrebno je dokumentirati u skladu s načelom pouzdanosti (članak 5. st. 2 GDPR) te redovito preispitivati i ažurirati te o tome voditi evidenciju.

Više o ovoj temi ćemo pisati u drugom dijelu članka.

www.feralis.hr

Tko je Centar Feralis?

Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.

Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om