I tento (v praxi nejběžnější) způsob zpracování bude Úřad nově považovat za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.
Využívání dynamického biometrického podpisu
Využívání dynamického biometrického podpisu („DBP“), tj. nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu, není zejména v soukromé sféře žádnou novinkou. Biometrické autentizační technologie jsou na vzestupu a jsou stále dostupnější jak z technického, tak finančního hlediska. Přestože DBP byl a stále je tématem právních diskusí, praktické zavádění DBP se v České republice doposud nesetkalo s žádnými významnými problémy. DBP je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS[1], který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání.
DBP vzniká tak, že je snímán vlastnoruční podpis s využitím speciálního zařízení (signpadu) zaznamenávajícího data, která umožní analyzovat vlastnosti podpisu spojeného s typickým chováním podepisující se osoby (čas, tlak, velikost, zrychlení apod.). V souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 („GDPR“) se bezpochyby jedná o osobní údaj, tj. informaci o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím DBP snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány. Biometrickými údaji se podle GDPR rozumí „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje“.
Dosavadní postoj Úřadu
Úřad k variantám využití biometrických údajů z pohledu zpracování osobních údajů vydal v roce 2014 výkladové stanovisko č. 2/2014.[2] V tomto stanovisku Úřad uvedl, že v případě snímání DBP dochází automaticky ke zpracování citlivých údajů (v souladu s terminologií GDPR zvláštních kategorií osobních údajů). Dynamické prvky jsou speciální technologií cíleně vygenerovány a zachyceny jako přidaná hodnota k samotnému grafickému znázornění podpisu, takže grafické znázornění a biometrické údaje existují vedle sebe a v této podobě jsou s nimi prováděny i následné operace. Toto své stanovisko později Úřad při komunikací s odbornou veřejností[3] upřesnil tak, že v případě, kdy by byl DBP zpracováván nikoli primárně za účelem získání biometrických údajů, ale klasickým způsobem jako běžný písemný podpis, nejednalo by se o zpracování citlivého osobního údaje. Pokud by tedy bylo s DBP nakládáno stejným způsobem jako s podpisem „na papír“, jednalo by se pouze o jiný prostředek podpisu, tj. subjekt údajů by učinil podpis na elektronickém zařízení, které podpis uloží, nikoli na klasickém papírovém dokumentu. V praxi většina subjektů zabezpečuje podpisy tak, že biometrická data opustí snímací zařízení pouze v zašifrovaném tvaru způsobem, který neumožňuje zpětnou rekonstrukci jejich biometrických charakteristik, a podpis je připojen k podepisovanému dokumentu takovým způsobem, aby byla zajištěna jeho integrita (ochrana proti jakékoli změně).
Kontrolní zjištění a posun v kvalifikaci dynamického biometrického podpisu
V souvislosti s účinností GDPR a zařazením biometrických údajů mezi zvláštní kategorie osobních údajů Úřad uveřejnil zprávu o změně v hodnocení úrovně právní ochrany biometrických údajů.[4] Úřad naznačil, že do budoucna nebude rozlišovat mezi výše uvedenými různými variantami technických řešení využívání biometrických údajů. Dle Úřadu by měl být jakýkoliv systém, který shromažďuje biometrická data za účelem identifikace konkrétních osob, považován za systém zpracovávající zvláštní kategorii osobních údajů. Úřad se v tomto ohledu rozchází se známým názorem odborné veřejnosti, který považuje biometrická data v DBP za data nesloužící k identifikaci podepisující osoby, a dochází tak k závěru, že na ně nelze použít aktuální přístup Úřadu.[5]
I přes skutečnost, že formálně ze strany Úřadu nedošlo k nahrazení výše zmíněného stanoviska č. 2/2014 stanoviskem novým, Úřad v rámci nedávné kontroly společnosti BNP Paribas Personal Finance SA[6] potvrdil, že ke zpracování biometrických údajů v momentě uzavírání smlouvy je potřeba výslovný souhlas subjektu údajů dle článku 9 odst. 2 písm. a) GDPR. Dle názoru Úřadu nepřichází jiný právní základ dle uvedeného článku 9 GDPR pro tyto účely v úvahu. Konkrétně v kontextu DBP se jedná nejen o případy, kdy dochází k vytvoření referenčního vzoru podpisu (zde se postoj Úřadu nezměnil), ale i pro případy užití DBP pouze v rámci podpisu jednotlivých elektronických dokumentů v zašifrovaném tvaru, což představuje značný posun v přístupu Úřadu k této problematice.
Vedle výše uvedeného posunu vnímání DBP Úřad v rámci kontroly rovněž konstatoval, že u některých subjektů (typicky se bude jednat o banky, pojišťovny apod.) není zpracování DBP za účelem „zjednodušení identifikace klienta“ v souladu s předpisy pro ochranu osobních údajů. Tyto subjekty dle Úřadu zpracovávají o svých klientech takové množství osobních údajů, že zpracování DBP porušuje zásadu minimalizace osobních údajů, jelikož pro tento účel není zpracování DBP nezbytné a ani výslovný souhlas subjektu údajů nezbavuje správce povinnosti postupovat v souladu se zásadami zpracování osobních údajů. Využití biometrických charakteristik podpisu je pak dle Úřadu na místě pouze pro případ zpochybnění pravosti podpisu smlouvy.
[1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
[2] Stanovisko č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů: Úřad pro ochranu osobních údajů. Dostupné z: https:// www.uoou.cz/stanovisko-c-2-2014-dynamicky-biometricky-podpis-z-pohledu-zakona-o-ochrane-osobnich-udaju/d-11298.
[3] Zejména opakovaná komunikace naší kanceláře s Úřadem v rámci klientských zadání.
[4] Změna v hodnocení úrovně právní ochrany biometrických údajů: Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/zmena-v-hodnoceniurovne-pravni-ochrany-biometrickych-udaju/d-23850.
[5] Názor obsažen např. v SMEJKAL, Vladimír. Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie. [Online]. 2017, č. 16, s. 89-112. [cit. 2019-04-16]. Dostupné z: https://journals.muni.cz/revue/article/view/8282.
[6] Kontrola zpracování osobních údajů klientů při tzv. nákupu na splátky (BNP Paribas Personal Finance SA, odštěpný závod): Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5394&n=kontrola-zpracovani-osobnich-udaju-klientu-pri-tzvnakupu-na-splatky-bnp-paribas-personal-finance-sa-odstepny-zavod.
Diskuze k článku ()