Na Informacijskega pooblaščenca je bilo naslovljeno vprašanje glede dopustnosti uporabe sistema za zbiranje prstnih odtisov zaposlenih za izvrševanje avtentikacije. Postopek zajemanja prstnih odtisov poteka na način, da zaposleni v postopku zajema prstnega odtisa izbere dvomestno kodo in dvomestno podkodo, ki je nato vezana na posameznika in iz shranjene kode ni mogoče na noben način prepoznati, kateremu zaposlenemu pripada. Izvirniki prstnih odtisov se torej ne hranijo. 

Informacijski pooblaščenec pojasnjuje, da gre za biometrijske ukrepe tudi če se ne hranijo izvirniki prstnih odtisov, ampak le t.i. predloge (template), na podlagi katerih načeloma ni mogoče restavrirati izvirnikov ter dodaja, da v praksi večina biometrijskih sistemov deluje tako, da se ne preverjajo izvirniki biometrijskih značilnosti, ampak ujemanje določenih značilnih točk, ki so običajno shranjene v predlogi. 

Osebni podatek je katerikoli podatek, ki se nanaša na točno določeno ali vsaj določljivo osebo, ne glede na obliko, v kateri je izražen in če so biometrični podatki zbrani z namenom kasnejše avtomatske obdelave vedno obstaja možnost, da bodo ti podatki povezani z določeno ali določljivo osebo. Kar velja za biometrične podatke velja tudi za digitalen zapis teh značilnosti, zato so, četudi so shranjeni v reducirani, digitalizirani obliki, biometrični podatki vedno osebni podatki. 

Skladno z določbo 83. člena ZVOP-2 se biometrijski ukrepi lahko izvajajo le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Obstajati mora torej resnično upravičen razlog, ki terja nujnost biometričnega preverjanja in da namena, ki ga upravljavec zasleduje, ni mogoče doseči z milejšimi ukrepi. Izjemoma se lahko v javnem sektorju z drugim zakonom uvede obdelava biometričnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali varovanje poslovnih skrivnosti. Za to je potrebno pridobiti odločbo Informacijskega pooblaščenca, pisno obvestiti posameznike in, kadar gre za zaposlene, z njimi izvesti predhodno posvetovanje. 

Biometrijsko evidentiranje delovnega časa je dopustno, če upravljavec (delodajalec) uspe dokazati, da so biometrijski ukrepi ne samo potrebni, temveč so nujno potrebni za namene iz 83. člena ZVOP-2 in da zasledovanega namena ni mogoče doseči na milejši način. 

Informacijski pooblaščenec je o biometrijskih ukrepih izdal posebne smernice, ki so dostopne tukaj. Vključena so tudi pojasnila, kdaj je uporaba biometrijskih ukrepov dopustna. 

Celotno mnenje Informacijskega pooblaščenca številka 07120-1/2023/1352 z dne 25. 10. 2023 je dostopno tukaj.