Ovo pitanje dobili smo od strane naših vjernih čitatelja i na tome smo im zahvalni.
Čitatelji se susreću sa zahtjevima banaka da ih u određenim okolnostima traže jednoznačnu potvrdu identiteta putem biometrijskih podataka.
Naravno da svako prikupljanje i daljnja obrada biometrijskih podataka izaziva priličnu dozu zabrinutosti kod svih sugrađana koji vode brigu o svojoj privatnosti i takva pitanja su više nego dobrodošla.
Naš cilj je uvijek da informiramo javnost i prikažemo što objektivniju sliku, s obzirom da mnogi poslovni subjekti u ulozi voditelja obrade jednostavno ne uspjevaju postići traženu transparentnost i informiranost običnih malih ljudi i takvim izostankom transparentnosti izazivaju i sumnje svojih klijenata.
Pravilnik o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije (NN 01/2019) donesen 02.01.2019. je važeći propis koji detaljno regulira obveze banaka i svih ostalih poslovnih subjekata koji su obveznici Zakona o sprječavanju pranja novca i financiranja terorizma.
Pravilnik o minimalnim tehničkim uvjetima koje moraju ispunjavati sredstva videoelektroničke identifikacije je ovdje:
https://narodne-novine.nn.hr/clanci/sluzbeni/full/2019_01_1_5.html
S obzirom da se ovdje radi o biometrijskim podacima u svrhe jednoznačne identifikacije osoba, radi se o posebnim kategorijama osobnih podataka iz članka 9. GDPR-a za koje je definirana opća zabrana prikupljanja i daljnje obrade takvih podataka, osim u slučajevima kada se radi o iznimkama iz članka 9. stavka 2. GDPR-a.
U konkretnom slučaju radi se o iznimci iz članka 9. stavka 2. točke a.. odnosno, izričitoj i slobodnoj privoli klijenta banke.
A što kaže taj Pravilnik o minimalnim tehničkim uvjetima obveznika provedbe mjera sprječavanja pranja novca i financiranja terorizma koje moraju ispunjavati sredstva videoelektroničke identifikacije:
Na početku postupka videoelektroničke identifikacije, osoba koja pristupa postupku videoelektroničke identifikacije daje svoju izričitu privolu obvezniku za provođenje toga postupka te posebnu privolu za:
1. izradu, pohranu i čuvanje snimke videoelektroničke identifikacije
2. izradu, pohranu i čuvanje ispisa sadržaja zaslona iz članka 8. ovoga Pravilnika
3. pohranu i čuvanje biometrijske fotografije.
Za svaku od navedenih svrha svatko od nas ima pravo reći DA ili NE, bez ikakve posljedice za nas, imajmo to na umu.
Štoviše, ako pristupamo postupku videoelektroničke identifikacije, a nismo dali privolu, postupak se obustavlja i naša jednoznačna identifikacija se provodi drugim, manjem invazivnim metodama.
Preslika osobnog identifikacijskog dokumenta temeljem kojeg je izvršena provjera našeg identiteta videoelektroničkom identifikacijom čuva se 10 godina nakon prestanka poslovnog odnosa i zadnje transakcije prema članku 79. Zakona o sprječavanju pranja novca i financiranju terorizma, uz uvjet da su pohranjeni dokumenti enkriptirani.
Dobro je primijetiti zašto se ovakvi sustavi u domaćem pravilniku nazivaju sustavima videoelektroničke identifikacije. Naime, ne radi se samo o identifikaciji slike već i zvuka u realnom vremenu.
Štoviše, banka i svaki drugi obveznik Zakona obvezan je osigurati zvučno i vizualno snimanje i pohranu cjelokupnog razgovora zaposlenika s osobom, ili dijela razgovora s osobom u kojem se obavlja videoelektronička identifikacija.
Videoelektronička identifikacija obavlja se korištenjem odgovarajuće tehničke opreme koja osigurava zaštićeni elektronički prijenos slike i zvuka enkriptiranjem cjelokupnog komunikacijskog kanala između krajnjih točaka (end-to-end) na način da nije moguće presresti podatke koji se prenose.
Za enkriptiranje potrebno je koristiti općepriznate kriptografske algoritme i postupke upravljanja kriptografskim ključevima, s time da kriptografski ključevi moraju biti odgovarajuće duljine kako bi se osigurala adekvatna razina sigurnosti.
Sam postupak jednoznačne identifikacije i uvjeti procjene ispravnosti ili prekidanja postupka u detalje se utvrđeni tim pravilnikom.