DELO NA PODROČJU VARSTVA OSEBNIH PODATKOV38prostore znotraj Stalnega predstavništva Republike Slovenije pri Evropski uniji, ki soorgani<strong>za</strong>cijsko in tehnično oblikovani v skladu z varnostnimi standardi, ki jih določaZakon o tajnih podatkih 35 , in v katerih so tajni podatki, in sicer nad tistimi <strong>za</strong>poslenimi,ki imajo pooblastila <strong>za</strong> dostop do z biometrijskimi ukrepi varovanih prostorov;• <strong>za</strong>htevi podjetja, ki se ukvarja s transportom in logistiko: z namenom varovanja poslovnihskrivnosti se dovoli izvajanje biometrijskih ukrepov z uporabo biometričnih čitalnikov prstnihodtisov na vhodu v pisarno direktorja vlagatelja <strong>za</strong>hteve, in sicer nad <strong>za</strong>poslenimi pri vlagatelju,ki imajo pooblastila <strong>za</strong> dostop do omenjene pisarne, v kateri so poslovne skrivnosti,s katerimi razpolaga vlagatelj oziroma nosilci teh poslovnih skrivnosti, <strong>za</strong> varstvo katerih jeuvedba biometrijskih ukrepov nujno potrebna;• <strong>za</strong>htevi podjetja, ki se ukvarja s sistemsko administracijo in poslovnimi rešitvami: <strong>za</strong>namene opravljanja dejavnosti, varovanja poslovnih skrivnosti in varnosti premoženjase dovoli izvajanje biometrijskih ukrepov s preverjanjem prstnih odtisov nad tistimi <strong>za</strong>poslenimi,ki so pooblaščeni <strong>za</strong> vstop v prostore v lasti telekomunikacijskega operaterja,<strong>za</strong> vstop v varno sobo in <strong>za</strong> odklepanje omar, v katerih je informacijsko-komunikacijskaoprema siHrambe (elektronska hramba podatkov različnih strank, med katerimi naj bibili tudi državni organi, javni <strong>za</strong>vodi in veliki poslovni sistemi, pri čemer naj bi strankevlagatelja v sistem siHrambe shranjevale predvsem svoje občutljive podatke: osebnepodatke, zdravstvene podatke, kadrovske osebne podatke, poslovne skrivnosti, tajnepodatke, arhivsko gradivo itd.).Dve vlogi sta bili <strong>za</strong>vrnjeni. <strong>Informacijski</strong> pooblaščenec je v obeh postopkih moral pretehtati,ali sta namen, ki sta ga navedla vlagatelja, in način izvajanja biometrijskih ukrepov takšna,da upravičujeta uvedbo biometrijskih ukrepov. Biometrijske ukrepe je dopustno uvesti le, četo terja neki resen in utemeljen razlog oziroma če je to nujno potrebno <strong>za</strong> dosego kateregaod v ZVOP-1-UPB1 določenih namenov. Razlog <strong>za</strong> uvedbo ni utemeljen in tudi ne nujnopotreben, če vlagatelj uvaja biometrijske ukrepe samo <strong>za</strong>radi priročnosti oziroma odsotnostiskrbi <strong>za</strong> npr. ključe, kartice ali PIN kode oziroma kot alternativno rešitev <strong>za</strong> preprečitevvstopov nepooblaščenih oseb v svoje prostore. Biometrijskih ukrepov, ki se uvajajo le <strong>za</strong>to,ker so priročnejši od sistemov, ki temeljijo na npr. brezkontaktnih karticah, ni mogoče opredelitikot nujno potrebnih <strong>za</strong> dosego namenov, opredeljenih v prvem odstavku 80. členaZVOP-1-UPB1 (nujno potrebni <strong>za</strong> opravljanje dejavnosti, <strong>za</strong> varnost ljudi ali premoženjaali <strong>za</strong> varovanje tajnih podatkov ali poslovne skrivnosti). <strong>Informacijski</strong> pooblaščenec ni dovoliluvedbe biometrijskih ukrepov, če jih je vlagatelj želel uvesti predvsem <strong>za</strong>radi njihovepraktičnosti in ekonomičnosti ali če jih je nameraval uvesti <strong>za</strong>radi evidentiranja delovnegačasa oziroma prisotnosti <strong>za</strong>poslenih na delovnem mestu, predvsem <strong>za</strong>to, ker je to boljpraktično od sistema z brezkontaktnimi karticami, ali <strong>za</strong>radi želje, da bi preprečili zlorabes posojanjem kartic. Navedeno ne more biti razlog <strong>za</strong> uvedbo biometrijskih ukrepov, ker biuvedba pomenila čezmeren in ne nujen poseg v <strong>za</strong>sebnost <strong>za</strong>poslenih, saj je evidentiranjeprisotnosti mogoče izvesti tudi manj vsiljivo. Pri uvajanju biometrijskih ukrepov je namrečtreba upoštevati, da njihovo izvajanje predstavlja neprimerno večji poseg v informacijsko<strong>za</strong>sebnost posameznika kot uporaba drugih omenjenih sredstev <strong>za</strong> vstopanje v prostore,saj gre <strong>za</strong> obdelavo tistih značilnosti posameznika, ki so edinstvene in stalne <strong>za</strong> vsakegaposameznika posebej, njihova zloraba pa bi imela <strong>za</strong> posameznika lahko hude, daljnosežnein nepopravljive posledice. Soglasje <strong>za</strong>poslenih ni <strong>za</strong>dosten pogoj <strong>za</strong> dopustnost uvedbebiometrijskih ukrepov. Soglasje posameznika je v prvem odstavku 8. člena ZVOP-1-UPB-1sicer opredeljeno kot pravna podlaga <strong>za</strong> obdelavo osebnih podatkov, vendar ta določbane pride v poštev pri obdelavi biometričnih podatkov kot posebne vrste osebnih podatkov.Pravna podlaga <strong>za</strong> obdelavo biometričnih podatkov je lahko le <strong>za</strong>kon ali odločba Informacijskegapooblaščenca, nikoli ne samo soglasje <strong>za</strong>poslenih.35Uradni list RS, št. 50/2006, uradno prečiščeno besedilo 2, s spremembami; v nadaljevanju ZTP..
Slika 16: Izdane odločbe o dopustnosti izvajanja biometrijskih ukrepov leta <strong>2009</strong>.4321dovoljeno<strong>za</strong>vrnjenoDELO NA PODROČJU VARSTVA OSEBNIH PODATKOV3.5. Ugotavljanje ustrezne ravni varstva osebnih podatkov v tretjihdržavahSkladno z določbami ZVOP-1-UPB1 je <strong>Informacijski</strong> pooblaščenec na področju iznosa osebnihpodatkov v tretje države pristojen <strong>za</strong>:• izdajo odločb o <strong>za</strong>gotavljanju ustrezne ravni varstva osebnih podatkov v tretjih državah(63. člen);• vodenje postopkov ugotavljanja ustrezne ravni varstva osebnih podatkov v tretjihdržavah na podlagi ugotovitev inšpekcijskega nadzora in drugih informacij (64. člen);• vodenje seznama tretjih držav, <strong>za</strong> katere je ugotovil, da imajo v celoti ali delno <strong>za</strong>gotovljenoustrezno raven varstva osebnih podatkov ali da te nimajo <strong>za</strong>gotovljene; če je ugotovljeno,da tretja država le delno <strong>za</strong>gotavlja ustrezno raven varstva osebnih podatkov, je v seznamunavedeno tudi, v katerem delu je ustrezna raven <strong>za</strong>gotovljena (66. člen);• vodenje upravnih postopkov <strong>za</strong> izdajo dovoljenj <strong>za</strong> iznos osebnih podatkov v tretjodržavo (70. člen).<strong>Informacijski</strong> pooblaščenec je leta <strong>2009</strong> prejel sedem vlog <strong>za</strong> iznos osebnih podatkov, envlagatelj je svojo vlogo pozneje umaknil. <strong>Informacijski</strong> pooblaščenec je izdal šest odločb,od tega eno <strong>za</strong> vlogo, prejeto leta 2008. Vsem vlagateljem, ki so prejeli odločbe, je iznososebnih podatkov dovolil.<strong>Informacijski</strong> pooblaščenec je prejel predlog družbe <strong>za</strong> grafične in dokumentacijske storitve,ki ima v lasti tudi družbo v Republiki Hrvaški, <strong>za</strong> uvedbo postopka ugotavljanja ustrezne ravnivarstva osebnih podatkov v Republiki Hrvaški, saj je <strong>za</strong> opravljanje posameznih poslov nujnopotreben in neizogiben tudi prenos osebnih podatkov iz ene družbe v drugo. <strong>Informacijski</strong>pooblaščenec je po prejetju predloga uvedel postopek ugotavljanja ustrezne ravni varstvaosebnih podatkov v Republiki Hrvaški, saj je ugotovil, da Republike Hrvaške ni na seznamuiz 66. člena ZVOP-1-UPB1, niti je ni na seznamu držav, <strong>za</strong> katere je ustrezno raven varstvaosebnih podatkov ugotavljala Komisija Evropskih skupnosti. <strong>Informacijski</strong> pooblaščenecse je s pregledom letnih poročil o delu Agencije <strong>za</strong> varstvo osebnih podatkov RepublikeHrvaške ter s pregledom posredovanih odločb omenjene Agencije prepričal, da pravnaureditev v Republiki Hrvaški <strong>za</strong>jema vsa načela, ki so nujna <strong>za</strong> <strong>za</strong>gotovitev ustrezne ravni39