Vzor
POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV
Biometrický dochádzkový systém
Identifikácia prevádzkovateľa
Názov prevádzkovateľa, so sídlom: sídlo prevádzkovateľa, IČO: IČO prevádzkovateľa
Zápis: Obchodný register Okresného súdu ..., oddiel: ..., vložka č. ...
Verzia dokumentu: 1.
Používané skratky:
| DPIA
| Data Protection Impact Assessment/Posúdenie vplyvu na ochranu osobných údajov
|
| EDPB
| European Data Protection Board/Európsky výbor pre ochranu osobných údajov
|
| WP
| Working Party/Pracovná skupina
|
| CRM
| Customer Relationship Management/Riadenie vzťahov so zákazníkmi
|
| EP
| Európsky parlament
|
1. ÚVODNÉ USTANOVENIA
Prevádzkovateľ: ..., so sídlom: sídlo prevádzkovateľa, IČO: ..., zápis: Obchodný register Okresného súdu ..., oddiel: ..., vložka č. ... (ďalej aj ako „spoločnosť“ alebo „prevádzkovateľ“) plánuje vykonávať spracúvanie osobných údajov dotknutých osôb prostredníctvom riešenia biometrického dochádzkového systému.
Aplikácia na biometrický dochádzkový systém predstavuje rozhranie, ktoré je určené na rozpoznanie tváre konkrétnej osoby – zamestnanca. Realizuje sa pomocou elektronického zariadenia s biometrickou kamerou, ktorá dokáže rozpoznať a presne identifikovať dotknutú osobu. Okrem samotnej fotografie dotknutej osoby sa rozpoznávajú aj špecifické črty tváre ako vzdialenosť očí, lícnych kostí či hrúbka pier.
Prevádzkovateľ bude biometrický dochádzkový systém jeho funkcionality využívať za účelom kontroly vstupu zamestnancov do prevádzky s vysokým stupňom utajenia. Pre tieto prípady budú konkrétni zamestnanci pred vstupom do objektu vyzvaní, aby svoju tvár nasnímali prostredníctvom elektronického biometrického zariadenia. Predmetné zariadenie porovná tvár konkrétneho zamestnanca a priradí ho k uloženej biometrickej fotografii. Po stotožnení zamestnanca bude zamestnancovi umožnený vstup do prevádzky s vysokým stupňom utajenia. V prípade, ak biometrický dochádzkový systém nestotožní zamestnanca, bude takejto osobe vstup do priestorov zamietnutý a automaticky bude upozornená ochrana objektu.
Pri prevádzkovaní aplikácie dochádza okrem spracúvania bežných osobných údajov aj k spracúvaniu osobitnej kategórie osobných údajov konkrétnych fyzických osôb, a to k spracúvaniu biometrických údajov tváre. Každá ľudská tvár má niekoľko bodov, ktoré sú unikátne pre každú dotknutú osobu. Tvárová biometria využíva tieto body na to, aby každú tvár dokonale identifikovala s maximálnou presnosťou. Porovnávajú sa najmä vzdialenosť očí, lícnych kostí či hrúbka pier. Meria a vyhodnocuje celkovo 30 bodov na tvári. Osoba je verifikovaná pomocou skenu tváre tým, že sleduje niekoľko bodov na displeji, čím je overené, či ide o skutočnú osobu alebo iba fotografiu. Spracúvanie biometrických údajov fyzických osôb je potrebné na účely individuálnej identifikácie fyzickej osoby.
V zmysle vyššie uvedeného sú splnené podmienky ustanovené článkom 35 odseku 2 všeobecného nariadenia o ochrane údajov na vykonanie posúdenia vplyvu na ochranu osobných údajov, ako aj podmienky Zoznamu spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných údajov vydaného Úradom na ochranu osobných údajov Slovenskej republiky ako príslušným dozorným orgánom podľa článku 35 ods. 4 všeobecného nariadenia o ochrane údajov (ďalej aj ako „Blacklist spracovateľských operácií“), menovite podmienka spracúvania biometrických údajov fyzických osôb na účely individuálnej identifikácie fyzickej osoby v spojení aspoň s jedným kritériom uvedeným v príslušnom usmernení WP 248 (o posúdení vplyvu na ochranu osobných údajov, pričom aktuálne je pracovná skupina WP v zmysle príslušných ustanovení všeobecného nariadenia o ochrane údajov nahradená Európskym výborom na ochranu osobných údajov – EDPB), ako aj vzhľadom na povahu, rozsah, kontext a účel spracúvania, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, sa prevádzkovateľ rozhodol vykonať toto posúdenie vplyvu plánovanej spracovateľskej operácie (ďalej ako „posúdenie vplyvu“ alebo ako „DPIA“).
Toto DPIA je vykonané a zdokumentované v zmysle vyššie označených ustanovení článku 35 všeobecného nariadenia o ochrane údajov a v zmysle ostatných príslušných právnych predpisov (nižšie špecifikované príslušné právne predpisy v oblasti ochrany osobných údajov spolu so všeobecným nariadením o ochrane údajov, ďalej ako „Predpisy o ochrane osobných údajov“) a niektorých technických noriem v oblasti informačnej bezpečnosti, najmä:
- zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej ako „Zákon“),
- vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov v platnom znení (ďalej ako „Vyhláška“),
- vyššie špecifikovaného a označeného Blacklistu spracovateľských operácií v platnom znení,
- odporúčaní a usmernení Úradu na ochranu osobných údajov Slovenskej republiky a príslušných inštitúcií Európskej únie (najmä Európskeho výboru pre ochranu osobných údajov, ktorý nahradil predchádzajúcu pracovnú skupinu tzv. WP 29 v zmysle článku 94 nariadenia),
- príslušných ustanovení STN ISO/IEC 27001:2013 Informačné technológie. Zabezpečovacie techniky. Systémy manažérstva informačnej bezpečnosti. [ISO 27001],
- príslušných ustanovení STN ISO/IEC 27002:2013 Informačné technológie. Zabezpečovacie techniky. Pravidlá dobrej praxe manažérstva informačnej bezpečnosti. [ISO 27002],
- príslušných ustanovení STN ISO/IEC 27005:2012 Informačné technológie. Zabezpečovacie techniky. Manažment rizík. [ISO 27005].
2. OPIS PLÁNOVANÉHO SPRACÚVANIA OSOBNÝCH ÚDAJOV
2.1. Identifikácia biometrického dochádzkového systému, podrobný opis priebehu spracúvania a definícia sledovaných cieľov
Biometrický dochádzkový systém je aplikovaný na licencovanom produkte nadnárodnej spoločnosti. Proces rozpoznania tváre je integrovateľný do CRM prostredníctvom rozšírenia o hardvérové a softvérové komponenty, pomocou ktorých sa realizuje samotný biometrický sken tváre:
- systém deteguje dotknutú osobu,
- systém deteguje, či ide o skutočnú (živú) dotknutú osobu a nie iba o fotografiu,
- systém porovná dotknutú osobu s osobami, ktorým je oprávnený vstup,
- systém následne dotknutej osobe umožní vstup do priestorov,
- systém zaznamená dátum, čas a identifikáciu dotknutej osoby vstupujúcej do priestoru.
Biometrický dochádzkový systém ako aplikácia prevádzkovaná prevádzkovateľom, slúži na:
- získavanie, t. j. zber osobných údajov príslušných dotknutých osôb, prostredníctvom zaznamenania biometrického skenu tváre,
- umožnenie vstupu do priestorov,
- zaznamenanie údajov v rozsahu: dátum, čas, konkretizácia dotknutej osoby vstupujúcej do priestoru.
V zmysle vyššie uvedeného tak prostredníctvom aplikácie dochádza, ako je uvedené aj v tomto DPIA, k zberu a spracúvaniu:
- bežných osobných údajov (meno, priezvisko, osobné číslo zamestnanca),
- osobitnej kategórie osobných údajov – biometrických údajov v rozsahu biometrického skenu tváre, t. j. najmä vzdialenosť očí, lícnych kostí či hrúbka pier.
Pred samotným spracúvaním osobných údajov zamestnanec udeľuje prevádzkovateľovi súhlas:
- SÚHLAS SO SPRACÚVANÍM BIOMETRICKÝCH ÚDAJOV
- Zamestnanec podpisom tohto súhlasu vyslovuje svoj súhlas v zmysle čl. 6 ods. 1 písm. a) nariadenia EP a Rady EÚ č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES, s tým, aby prevádzkovateľ spracúval jeho biometrické údaje v rozsahu skenu tváre, t. j. vzdialenosť očí, lícnych kostí či hrúbku pier a pod., a to na účely dochádzkového systému do utajených priestorov prevádzkovateľa. Tento súhlas zamestnanec udeľuje po ...
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies