Privatizacija vašega obraza

Predlog zakonodaje ZVOP-2 po našem mnenju brez utemeljenega razloga preveč na široko odpira polje uporabe tehnologij z biometričnimi podatki v zasebnem sektorju in v osemdesetem členu predloga zakona večino varovalk prepušča posamezniku. Sliši se lepo, dokler ne ugotovimo, da gre v bistvu za totalno liberalizacijo trgovine z biometričnimi podatki, kjer je uporabnik prepuščen samemu sebi.

Mehanizem osebne odgovornosti, ki ga v globalni informacijski družbi že dalj časa problematizirajo predvsem zaradi katastrof, kjer so se uporabniki strinjali s pogoji uporabe, ki jih niso razumeli, so bili pa v njih prisiljeni (drugače določenih storitev ne morejo uporabljati), prevladuje kot utemeljitev varovalk za široko odpiranje uporabe biometričnih podatkov za najrazličnejše namene zasebnega sektorja.

Naj se sliši vaš glas!

Do ponedeljka, 31.5.2021 imate tudi vi priložnost povedati ministrstvu za pravosodje, naj ne odpira trgovine z biometričnimi podatki brez jasnih varovalk in naj ne prepušča tega področja samo odločitvi posameznika. Spodaj lahko preberete sporni člen in naše komentarje, priložili smo tudi navodila za komentiranje zakonskega predloga pri ministrstvu za pravosodje.

80. člen
(biometrični ukrepi v zasebnem sektorju)

(1) Oseba zasebnega sektorja lahko izvaja biometrične ukrepe le v skladu z določbami tega člena, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov, varstvo poslovne skrivnosti ali za varstvo točnosti identitete strank.

(2) Biometrične ukrepe lahko oseba zasebnega sektorja pod pogoji iz prejšnjega odstavka izvaja tudi v svojih prostorih nad svojimi zaposlenimi in nad zaposlenimi pri njenih pogodbenih partnerjih, ki so bili o tem predhodno pisno obveščeni.

(3) Oseba zasebnega sektorja lahko izvaja biometrične ukrepe tudi v zvezi s svojimi strankami, kadar se na ta način zagotavlja varstvo točnosti njihove identitete in pod pogojem, da to za namene varovanja interesov iz prvega odstavka tega člena določa drug zakon ali pogodba ali so stranke podale izrecno privolitev, ki je določena v drugem zakonu, pod pogojem, da so biometrični podatki ves čas pod izključno oblastjo stranke.

(4) Oseba zasebnega sektorja, ki namerava izvajati biometrične ukrepe, pred uvedbo ukrepov posreduje nadzornemu organu opis nameravanih ukrepov in razloge za njihovo uvedbo.

(5) Nadzorni organ po prejemu posredovanih informacij iz prejšnjega odstavka v dveh mesecih odloči, ali je nameravana uvedba biometričnih ukrepov v skladu s tem zakonom. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca.

(6) Oseba zasebnega sektorja lahko začne izvajati biometrične ukrepe po prejemu odločbe iz prejšnjega odstavka, s katero je izvajanje biometričnih ukrepov dovoljeno.

(7) Zoper odločbo nadzornega organa iz petega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.

(8) Osebi zasebnega sektorja ni treba pridobiti odločbe iz petega odstavka tega člena, če se biometrični ukrepi izvajajo na način, da so biometrične značilnosti ali matematične pretvorbe biometričnih značilnosti vedno pod nadzorom posameznika, na katerega se nanašajo osebni podatki in je posameznik za izvajanje teh ukrepov podal privolitev.

Komentar Zavoda Državljan D

V zavodu Državljan D izražamo izredno zaskrbljenost nad predlogom zakonodaje ZVOP-2 in sicer glede osemdesetega člena, v katerem lahko beremo predlog ureditve uporabe biometričnih tehnologij v zasebnem sektorju. Podajamo komentarje osemdesetega člena predloga zakonodaje ZVOP-2 in opozarjamo na izredno površnost, nedorečenost in nesmiselnost predloga zakonodaje v tem delu.

Predlog zakona ne opredeljuje tipa biometričnih podatkov (prstni odtisi, obrazno prepoznavanje, analiza hoje…), ki imajo različno stopnjo zaupanja oziroma kredibilnosti in so zaradi tega med seboj neprimerljivi. Zakonodajalec bi moral na tem mestu vsaj natančno opredeliti tip biometričnih podatkov za posamezno rabo.

Tretja alineja osemdesetega člena omenja »izrecno privolitev« in »ves čas pod izključno oblastjo stranke«, kar sta po našem mnenju izredno široka in odprta pojma, ki dopuščata veliko manipulacij in zlorab biometričnih podatkov.

Samo »izrecna privolitev stranke« ne rešuje situacije, v kateri stranka ne bo imela izbire, kot da »izrecno privoli« v uporabo biometričnih podatkov. Opisujemo primer, znan po celem svetu, kjer se ponudniki storitev določenega sektorja (banke, zavarovalnice…) odločijo za uvedbo biometričnega načina omejitev dostopa do določenih storitev, stranka pa tako izbire za ne-biometrično omejitev dostopa sploh nima in je tako prisiljena v »izrecno privolitev«.

Hkrati se tukaj vidi nevarnost prej omenjene »nujnosti biometričnih ukrepov za izvajanje dejavnosti,« saj zaradi nedorečenosti pridemo v situacijo, kjer se bodo zasebni ponudniki storitev na določenem področju o »nujnosti« izrekli sami, potrošnik pa bo ostal brez izbire oziroma možnosti neuporabe svojih biometričnih podatkov.

Nadalje opozarjamo na izredno problematičnost »izrecne privolitve«, ki je del pogodbe o uporabi določene storitve, kjer zaradi nepazljivega branja uporabnika ta preda svoje biometrične podatke tretjim osebam, s tem pa se odpove vsakršni pomoči oziroma mehanizmu, s katerim bi svoje biometrične podatke lahko pridobil nazaj.

Še več – ker je odgovorno razkrivanje varnostnih ranljivosti v informacijski družbi na splošno še zelo nerazdelano področje, ki v veliki večini primerov temelji na samoregulatornemu čutu, se lahko zaradi »izrecne privolitve« in nepazljivega branja uporabnik kaj hitro znajde v situaciji, ko so njegovi biometrični podatki zlorabljeni, uporabnik pa tega sploh ne ve in je tako hkrati brez vzvodov za reakcijo. Tveganje je pri biometričnih podatkih toliko večje, saj jih uporabnik ne more »ponastaviti« – ko so enkrat prstni odtisi, značilke obraza oziroma druge biometrične lastnosti shranjene v podatkovni bazi, uporabnik na svoji strani ne more narediti ničesar, kar bi spremenilo to stanje.

Nadalje je nejasna tudi sintaksa »ves čas pod izključno oblastjo stranke«, kjer vidimo problem predvsem v prepuščanju vseh varovalk lastnih podatkov na stran potrošnika oziroma posameznika. Odgovornost za sistem biometričnega nadzora oziroma drugega sistema, v katerem so v igri biometrični podatki posameznika, je namreč tako spet prepuščena posamezniku, brez odgovornosti na strani ponudnika storitve – to na eni strani spodbuja uvajanje biometričnih sistemov, saj bo imel ponudnik od tega samo domnevno korist brez odgovornosti, hkrati se vsa odgovornost prelaga na posameznika, kar se povsod po svetu izkazuje kot izredno nevarna praksa.

Na splošno iz predloga zakona ni jasno, zakaj je pri zakonodajalcu opaziti tako navdušenje nad uporabo biometričnih sistemov nadzora v zasebnem sektorju bre ustreznih sistemskih varovalk. Po celem svetu se namreč že več let kažejo grozljive posledice nepremišljenega, neomejenega in neutemeljenega razvoja biometričnih sistemov v zasebnem sektorju na različnih področjih, hkrati se na strani javnosti krepi nezaupanje v take sisteme.

Na evropskem nivoju se prav v času sprejemanja ZVOP-2 uvajajo ostrejše varovalke in prepovedi določenih praks uporabe biometričnih podatkov, Slovenija pa na tem področju izvaja obratno politiko – vrača se v čase navdušenega tehnodeterminizma in izključnega zanašanja na končnega uporabnika, ki bo s svojo pametjo edini branik pred zlorabami lastnih biometričnih podatkov. Ravno to prepuščanje vse odgovornosti na stran končnega uporabnika se je namreč pokazalo kot izredno škodljivo na večih področjih informacijske družbe, kjer v podatkovni ekonomiji vedno znova naletimo na situacije, v katerih se znajde »avtonomen« uporabnik, ki je prepuščen samemu sebi.

Zakonodajalcu polagamo na srce željo, da bi znova premislil uporabo biometričnih podatkov v zasebnem sektorju, jo izredno natančno opredelil in hkrati že v tem zakonu navedel varovalke ter uvedel sistem soodgovornosti, ki bi si jo delila ponudnik storitve in njen uporabnik. To bi bilo zasledovanje optimalne koristi za državljanke in državljane ter ponudnike storitev zasebnega sektorja in hkrati v skladu z vedno bolj prevladujočim dojemanjem pomembnosti varovanja biometričnih podatkov, nepovratnih posledic morebitnih zlorab in njihove razširjenosti.

Sporoči svoje mnenje!

Na spletišču eUprava najdeš predlog ZVOP-2, ki je do ponedeljka, 31.5.2021, odprt za komentiranje. Svoje komentarje lahko do istega datuma pošlješ tudi na elektronski naslov Ministrstva za pravosodje (gp.mp@gov.si) ter sporočiš, da se ne strinjaš z izredno nejasno in odprto interpretacijo uporabe biometričnih tehnologij nadzora v zasebnem sektorju brez varovalk.

In seveda – povej naprej!

Se ti zdi to pomembno?

Projekt Eticen.it nastaja v sklopu zavoda Državljan D. Zavod se ne financira z državnim denarjem, temveč denar za delovanje pridobiva tudi z donacijami aktivne javnosti. Če ti je tematika nadzora in krčenja državljanskih pravic pomembna, razmisli o podpori.

Naše delovanje pokriva več različnih področij, od digitalnih pravic, medijske pismenosti in aktivnega državljanstva. Več o naših aktivnostih izveš na spletišču zavoda Državljan D.