Tímto rozhodnutím ÚOOÚ nám neznámému subjektu (dále jen „účastník řízení“) uložil pokutu ve výši 250 000 Kč primárně za to, že údajně porušil zásadu zpracování osobních údajů stanovenou v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 (GDPR), tedy zásadu, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“).[2]
Předcházející části článku naleznete zde a zde.
Biometrická identifikace nebo autentizace zaměstnanců podle stanoviska ÚOOÚ č. 1/2017
Ve výše uvedeném druhém znění Stanoviska č. 1/2017 ÚOOÚ jsou posuzovány podmínky používání otisků prstů (případně otisku dlaně) zaměstnanců pro použití v přístupových a docházkových systémech. „Použití biometrických znaků má vyloučit možnosti klamání zaměstnavatele při použití jiných prostředků, např. identifikačních karet, v docházkových systémech. V přístupových systémech má otisk prstu zajistit spolehlivé určení osoby oprávněné pro přístup do chráněných prostor nebo k chráněným informacím. … Otisk prstu je považován za prakticky unikátní. To zakládá možnost přímého ztotožnění nositele zobrazované biometrické charakteristiky. Tím otisk prstu naplňuje znaky citlivého biometrického údaje jako údaje umožňujícího přímou identifikaci nebo autentizaci subjektu údajů podle § 4 písm. b) zák. č. 101/2000 Sb., o ochraně osobních údajů. … Záměr zaměstnavatele na trvalé ukládání biometrických údajů, např. samotných scanů či snímků otisků prstů, často zpracovávaných společně s dalšími identifikačními údaji zaměstnanců v informačním systému zaměstnavatele v podobě, která umožňuje tyto informace dále zpracovávat, je zpracováním citlivých údajů, které je možné jen za podmínek stanovených § 9 zákona o ochraně osobních údajů, tedy buď s výslovným souhlasem subjektu údajů podle § 9 písm. a), nebo bez tohoto souhlasu za podmínek dále tímto ustanovením stanovených.“
Dále jsou rozlišeny přístupové a docházkové systémy a k nim ÚOOÚ uvádí (citováno vč. poznámek pod čarou):
„Přístupové systémy – Pokud se jedná o možnosti využití výjimky v § 9 písm. b) až i) zákona o ochraně osobních údajů pro zpracovávání biometrických údajů zaměstnanců, dá se využít toto ustanovení jen velmi omezeně. Z hlediska zákona o ochraně osobních údajů jde v tomto případě zejména o zpracování citlivých údajů, které je nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem ve smyslu § 9 písm. d), a dále se může jednat o zpracování nezbytné pro zajištění a uplatnění právních nároků ve smyslu § 9 písm. h), když tato možnost vyplývá ze zvláštních právních předpisů. … V praxi však u přístupových systémů, kde zajištění bezpečnosti zpracováním citlivých biometrických údajů není stanoveno zvláštním zákonem nebo spojeno se zvláštním zákonem předvídanou prováděcí vyhláškou, lze biometrické identifikace s vyhledáváním biometrických údajů v databázi použít jen s výslovným souhlasem jejich nositele podle § 9 písm. a) zákona o ochraně osobních údajů. Současně musejí být dodrženy všechny ostatní povinnosti správce podle zákona o ochraně osobních údajů, zejména § 10. V přístupových systémech by v návaznosti na uvedené mělo vždy platit pravidlo, že jde o mimořádné opatření, kdy, kromě ze zvláštního zákona vyplývající povinnosti zajistit bezpečnost přístupu, se zpravidla zpracovávají biometrické údaje omezeného okruhu oprávněných osob, na rozdíl od plošného zpracování biometrických údajů všech zaměstnanců v docházkových systémech.“
Podle názoru ÚOOÚ mají docházkové systémy jiný charakter: „Docházkové systémy – Podle přístupu Úřadu k této problematice deklarovaného ve výroční zprávě za rok 2007 i v odpovědích na četné dotazy veřejnosti k této problematice nelze použití systémů, v jejichž paměti dochází k uchovávání biometrických údajů v podobě, která umožňuje jejich další zpracování, považovat za nezbytné pro jakoukoli běžnou evidenci, např. pro evidenci docházky do zaměstnání. Zpracování biometrických údajů zejména v docházkových systémech lze proto posuzovat jako nepřiměřené ve vztahu k rozsahu a účelu zpracovávání, který je povinen stanovit každý správce. V důsledku toho může docházet k porušení povinnosti podle § 5 odst. 1 písm. d) zákona o ochraně osobních údajů, tedy shromažďování osobních údajů neodpovídajících stanovenému účelu a v rozsahu nikoli nezbytném pro naplnění stanoveného účelu, a to i v případě existence výslovného souhlasu subjektu údajů. … Obdobný přístup zaujímá většina úřadů na ochranu dat států Evropské unie.
Problematice zpracování biometrických dat se věnuje Stanovisko č. 3/2012 k vývoji biometrických technologií, které přijala Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená v rámci Evropské komise podle čl. 29 směrnice 95/46/ES Evropského parlamentu a Rady (Working Party – WP29). [Pozn. 1 – Stanovisko revidovalo a fakticky aktualizovalo předchozí dokument skupiny WP29, Pracovní dokument o biometrii, z 1. srpna 2003.]
Prvním podstatným hlediskem je, zda dochází k uchovávání úplných biometrických údajů, nebo zda systém vybírá z úplných biometrických údajů některé rysy specifické pro jednotlivce tak, aby vytvořil biometrickou šablonu, která je redukcí úplného biometrického obrazu.
Je žádoucí, aby šablony byly před uložením v systému zpracovávány matematickými operacemi (kódování, algoritmy nebo hash funkce) tak, aby nebyly volně čitelné nebo zpětně rekonstruovatelné.
Důležité přitom je, že různé systémy mají různé způsoby bezpečného převodu šablony otisku prstů do číselného vyjádření, které je uloženo v systému. Nelze proto říci, že určité takto získané číselné vyjádření je pro subjekt údajů ve všech systémech jednoznačné. Zpracování takovýchto číselných vyjádření šablon tedy nelze posuzovat jako zpracování biometrických údajů. [Pozn. 2 – Uvedené vyjádření je již v současnosti nutné s ohledem na technologický vývoj považovat za neúplné a nelze jej vztáhnout na všechny moderní biometrické systémy.]
Jiná situace by ovšem nastala v případě, kdy by existoval pouze jediný způsob převodu, a tudíž by každý subjekt měl ve všech těchto systémech jedinou hodnotu.
Jestliže dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné, a to při naplnění povinností správce podle § 5 odst. 1, a dále některé z podmínek § 5 odst. 2 písm. a), b) nebo e) zákona o ochraně osobních údajů i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje. [Pozn. 3 – Změna s účinností od 25. května 2018. Čl. 9 obecného nařízení považuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby za zpracování zvláštní kategorie osobních údajů.] Pro další zpracování údajů o docházce do zaměstnání za účelem plnění práv a povinností vyplývajících z pracovněprávních vztahů je v tom případě aplikovatelná i výjimka z oznamovací povinnosti podle § 18 odst. 1 písm. b) zákona o ochraně osobních údajů. [Pozn. 4 – Změna s účinností od 25. května 2018. Obecné nařízení již neukládá povinnost oznamovat zamýšlené zpracování osobních údajů. U zpracování zvláštních kategorií údajů lze však předpokládat povinnosti aplikovat některé z dalších mechanismů a nástrojů ochrany údajů.]
Dalším důležitým hlediskem je, zda je použitý systém založen na autentizaci (verifikaci) fyzické osoby, nebo na identifikaci subjektu údajů v databázi, v níž jsou uchovávány osobní údaje i dalších subjektů údajů. Autentizační (verifikační) systém pouze ověřuje totožnost fyzické osoby porovnáním údajů 1:1. Při identifikaci systém rozpoznává jednotlivce odlišením od ostatních osob, tedy výběrem jednoho z možných případů.
Plné biometrické údaje nebo biometrické šablony tedy mohou být uchovávány buď pouze v paměti biometrického zařízení, nebo v centrální databázi, případně u některých systémů na optických nebo čipových kartách, které uživatelům umožňují nosit je při sobě jako identifikační prostředek. Aplikace pro autentizaci (verifikaci) se často používají pro různé úkoly ve zcela odlišných oblastech a v odpovědnosti celé řady různých subjektů. Pro účely autentizace/verifikace není nezbytné uchovávat osobní údaje v databázi, postačuje je uchovávat decentralizovaně. Z hlediska zásady proporcionality jsou jednoznačně upřednostňovány biometrické aplikace, které nezpracovávají data získaná z tělesných stop nevědomě zanechaných jednotlivci a u kterých nejsou data uchovávána v centralizovaném systému. Povinnostem stanoveným zákonem o ochraně osobních údajů pro zpracování citlivých údajů proto nemusí podléhat systém, který pracuje pouze na principech autentizace, tedy metody kontroly příchodu a odchodu zaměstnance, kdy čtecí zařízení, do kterého otisk prstu vkládá na základě požadavku zaměstnavatele na kontrolu docházky sám zaměstnanec, porovnává údaje 1:1.
Při příchodu na pracoviště nebo odchodu z něj je po zvolení osobního čísla zaměstnance vložený otisk s přiložením příslušného prstu použit pouze pro ověření totožnosti subjektu údajů. Do dalšího zpracování osobních údajů snímek otisku prstu nebo dlaně však již nevstupuje a systém jeho další zpracování ani neumožňuje. Osobní číslo zaměstnance je v takovémto docházkovém systému druhým identifikátorem, který však může být zaměstnavatelem zpracováván v souladu se zákonem o ochraně osobních údajů i bez souhlasu subjektu údajů ve smyslu § 5 odst. 2 písm. e). [Pozn. 5 – Změna s účinností od 25. května 2018. Čl. 9 obecného nařízení považuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby za zpracování zvláštní kategorie osobních údajů.]
Rozhodné pro posouzení, zda jde o z hlediska zásad ochrany přípustnou autentizaci, nebo o identifikaci, kterou je třeba podrobit přísné regulaci, je, zda účelem použití otisku prstu je pouze ověření totožnosti porovnáním s přiloženým prstem ruky, nebo v systému dochází v návaznosti na přiložení ruky nebo její části (případně karty s RFID čipem, který již tyto informace obsahuje) k vyhledávání a porovnávání informací s údajem uchovávaným v databázi biometrických údajů, která musí být vždy považována za zpracování citlivých údajů, podléhající režimu § 9 zákona o ochraně osobních údajů.
Zaměstnavatel musí důsledně splnit nejen shora uvedené povinnosti podle § 5, 9 a 16, ale dále také informační povinnost podle § 11 a povinnosti při zabezpečení osobních údajů podle § 13-15 zákona o ochraně osobních údajů, jestliže by šlo o shromažďování citlivých údajů umožňující jejich další zpracování v databázi, ale v případě jakéhokoli systému založeného na použití biometrických znaků i informační povinnost o základních pracovních podmínkách a jejich změnách podle § 279 zákoníku práce, neboť může nastat situace, kdy zaměstnanec výlučně vstupní otisk prstu pro ověření totožnosti neposkytne z obavy z jeho možného zneužití.“
Z výše citovaného stanoviska lze dospět k následujícím závěrům:
- Stanovisko reflektuje právní režim GPDR, neboť ve své aktualizované verzi bylo vydáno po nabytí platnosti GDPR a výslovně také GDPR zmiňuje.
-
U přístupových systémů lze souhlasit s výše uvedeným závěrem, že tam, kde zajištění bezpečnosti zpracování citlivých biometrických údajů není stanoveno zvláštním zákonem nebo spojeno se zvláštním zákonem předvídanou prováděcí vyhláškou, lze biometrické identifikace s vyhledáváním biometrických údajů v databázi použít jen s výslovným souhlasem jejich nositele podle § 9 písm. a) zákona o ochraně osobních údajů, resp. po nabytí účinnosti GDPR s výslovným souhlasem podle čl. 9 odst. 2 písm. a) GDPR. Současně musejí být dodrženy všechny ostatní povinnosti správce podle zákona o ochraně osobních údajů, zejména § 10, podle kterého při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů; obdobně po nabytí účinnosti GDPR povinnosti stanovené v tomto nařízení.
-
Podle názoru autorů je namístě mít „neprůstřelné“ zdůvodnění, proč je taková kontrola přístupu žádoucí, pokud se tak neděje ze zákona, a na které osoby se vztahuje. Podle platné právní úpravy GDPR je zákonnost zpracování jako taková odůvodnitelná podle čl. 6 odst. 1 písm. b) [zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů; podle autorů se může jednat v případě docházkových či přístupových systémů i o smlouvu pracovní, příkazní, o dílo atd.], d) [zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. ochrana osoby před vstupem do nebezpečného prostoru – viz § 101 odst. 1 zákoníku práce] nebo f) [zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany – např. zájem na ochraně majetku vč. informací, a to včetně ochrany osobních údajů zpracovávaných správcem či zpracovatelem], při splnění podmínek dle čl. 9 GDPR.
-
Východisko ÚOOÚ, podle kterého u docházkových systémů „nelze použití systémů, v jejichž paměti dochází k uchovávání biometrických údajů v podobě, která umožňuje jejich další zpracování, považovat za nezbytné pro jakoukoli běžnou evidenci, např. pro evidenci docházky do zaměstnání. Zpracování biometrických údajů zejména v docházkových systémech lze proto posuzovat jako nepřiměřené ve vztahu k rozsahu a účelu zpracovávání, který je povinen stanovit každý správce. V důsledku toho může docházet k porušení povinnosti podle § 5 odst. 1 písm. d) zákona o ochraně osobních údajů, tedy shromažďování osobních údajů neodpovídajících stanovenému účelu a v rozsahu nikoli nezbytném pro naplnění stanoveného účelu, a to i v případě existence výslovného souhlasu subjektu údajů“, je podle názoru autorů neopodstatněné, neboť není naprosto zřejmé, jaká újma může nastat subjektu údajů, je-li splnění jeho pracovněprávní povinnosti [dostavit se do zaměstnání v určenou dobu a na určené místo, viz § 38 odst. 1 písm. b) zákoníku práce] prokazováno pomocí biometrických údajů, které nijak nemohou způsobovat ani potenciální újmu (nejedná se o údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, zpracování genetických údajů, údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby tak, je se uvádí v čl. 9 odst. 1 GDPR). Nemluvě o tom, že i zde ÚOOÚ zcela bagatelizuje svobodnou vůli subjektu údajů (poskytnutí výslovného souhlasu), čemuž se věnujeme dále. Většina docházkových systémů s biometrickými údaji pracuje tak, že otisk prstu je po sejmutí transformován do číselné posloupnosti jednosměrnou funkcí typu hash, která neumožňuje biometrické údaje rekonstruovat, a v tomto tvaru také tuto reprezentaci otisku prstů uchovává.
-
ÚOOÚ připouští, že mohou být používány šablony, přičemž „je žádoucí, aby šablony byly před uložením v systému zpracovávány matematickými operacemi (kódování, algoritmy nebo hash funkce) tak, aby nebyly volně čitelné nebo zpětně rekonstruovatelné“, a dochází k závěru, že „Jestliže dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné, a to při naplnění povinností správce podle § 5 odst. 1 a dále některé z podmínek § 5 odst. 2 písm. a), b) nebo e) zákona o ochraně osobních údajů i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje.“ V poznámce pod čarou č. 3 ale uvádí, že „Čl. 9 obecného nařízení považuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby za zpracování zvláštní kategorie osobních údajů“, čímž možná naznačuje, že po nabytí účinnosti GDPR to je jinak. Produktem těchto úvah je tedy zřejmě i v úvodu citované rozhodnutí č. j. UOOU-10138/18-8.
Je používání DBP v rozporu s GDPR?
Touto problematikou se druhý z autorů zabýval již dříve před vydáním citovaného rozhodnutí. V článku uveřejněném v roce 2017 v Revui pro právo a technologie[3] dospěl k následujícím závěrům:
„DBP snímá ‚surová‘ biometrická data, která jsou využívána pouze pro podepsání dokumentu, jejich využití nebude spojeno s dalším automatickým zpracováním biometrických údajů a DBP není používán pro identifikaci subjektu údajů. U dynamického biometrického podpisu se nejedná o identifikaci, neboť je to právě daná osoba, která podpisem stvrzuje svoji identifikaci (uvedením jména podepisující osoby, případně dalších údajů, k nimž je podpis připojen) při určitém úkonu, což dokládá vytvořením svého podpisu.
Biometrické údaje jsou šifrovány, chráněny proti neoprávněnému přístupu a jsou zpřístupněny třetí osobě (soudnímu znalci) pouze v případě sporu o pravost podpisu, a to velmi formalizovaným postupem obsahujícím vysoké záruky – viz výše.
Stále jde tedy o postup, který odpovídá dřívějšímu názoru ÚOOÚ z roku 2016, podle kterého dochází k použití DBP ve stejném právním režimu jako při zpracování klasického podpisu, tj. že nejde o zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Podle názoru autora by tedy nemělo dojít k přehodnocení výše citovaného stanoviska ÚOOÚ v souvislosti s použitím DBP pro podepisování dokumentů po nabytí účinnosti GDPR, neboť DBP bude využíván stejně jako podpis klasický, tzn. jeho využití nebude spojeno s dalším automatickým zpracováním biometrických údajů a nebude používán pro identifikaci subjektu údajů.“
Je nepochybné, že v daném případě chtěl správce zvýšit právní jistotu (svoji i subjektu údajů) o tom, že dokument byl skutečně podepsán osobou, jež je na něm uvedena. Lze se domnívat, že tento postup je v souladu s obsahem bodu 47 recitálu GDPR, podle kterého „Oprávněným zájmem dotčeného správce údajů je rovněž zpracování osobních údajů nezbytně nutné pro účely zamezení podvodům.“ Obyčejný obrázek, který požaduje ÚOOÚ, neposkytuje ani řádově stejné bezpečnostní záruky jako DBP, když zejména neumožňuje provedení dostatečně průkazného znaleckého posudku posuzujícího pravost podpisu v případě pochybností či v případě rozporování jeho pravosti podepsanou osobou. Použití DBP je tedy podle názoru autorů vzhledem k danému účelu oprávněné a plně legitimní. Podle názoru autorů je to právě ÚOOÚ, který svým požadavkem na návrat k zastaralému postupu zvyšuje rizika podvodu, a tedy snižuje bezpečnost celé podpisové, resp. smluvní operace, a to aniž by pro tento svůj požadavek poskytl odůvodnění opírající se o platnou právní úpravu. Tím snižuje právní sílu podpisu, jehož zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků podle čl. 9 odst. 2 písm. f) GDPR.
K problematice souhlasu subjektu údajů[4]
Bod 42 recitálu GDPR mj. uvádí, že „Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.“ Podobně uvádí čl. 7 odst. 4 „Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.“
GDPR obecně klade na souhlas vyšší požadavky, nežli tomu bylo u předchozí právní úpravy, jak vyplývá především ze čl. 7. Musí se jednat o souhlas nejen svobodný, ale také informovaný, který tak subjekt údajů poskytuje při plném vědomí toho, s čím souhlasí, kromě toho odlišitelný od jiných skutečností a srozumitelný. GDPR v čl. 7 odst. 2 výslovně stanoví důsledek porušení těchto požadavků na souhlas tak, že jakákoli část prohlášení, která by představovala porušení GDPR, „není závazná“.
Základní zásady GDPR, včetně zásady minimalizace údajů, podle které musí být osobní údaje „přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány“, se aplikují na každé zpracování, bez ohledu na jeho právní základ. Použijí se tak i na zpracování založené na souhlasu subjektu údajů. Způsob použití této zásady v rozebíraném rozhodnutí ÚOOÚ, které je ve svém důsledku de facto zpochybněním práva osoby jinak svéprávné souhlas poskytnout, považují autoři za nesprávný a postrádající oporu v platné právní úpravě GDPR. Dle hodnocení autorů platí, že jsou-li splněny požadavky kladené GDPR na souhlas a účel zpracování, k němuž byl souhlas udělen, je legitimní, nadále trvá a zpracování daných kategorií osobních údajů je k danému účelu potřebné, pak není možné udělený souhlas bagatelizovat závěrem o nadbytečnosti zpracování. Autoři navíc považují za zcela nesprávné dovodit nadbytečnost zpracování osobních údajů z existence alternativní možnosti zpracování, kterou správce nabízí těm osobám, které souhlas dobrovolně neposkytly.
Evropský sbor pro ochranu osobních údajů[5] na svém plenárním zasedání ve dnech 9. až 10. 6. 2019 schválil vydání dokumentu „Pokyny 3/2019 o zpracování osobních údajů prostřednictvím videozařízení“ pro veřejnou konzultaci.[6] Z hlediska zde popisované problematiky DBP a informovaného souhlasu považují autoři za užitečné citovat:
„74. Aby bylo zpracování považováno za zpracování zvláštních kategorií osobních údajů (článek 9), je vyžadováno, aby byly biometrické údaje zpracovávány ‚za účelem jedinečné identifikace fyzické osoby‘.
75. Lze tedy shrnout, ve světle článku 4 bod 14 a článku 9, že musí být posouzena tři kritéria:
Povaha údajů: údaje vztahující se k fyzickým, fyziologickým nebo behaviorálním charakteristikám fyzické osoby,
Prostředky a způsob zpracování: údaje, ‚které jsou výsledkem specifického technického zpracování‘,
Účel zpracování: údaje musejí být použity za účelem jedinečné identifikace fyzické osoby.
76. Použití kamerového monitorování zahrnujícího funkcionality biometrického rozpoznávání soukromými entitami pro jejich vlastní účely (např. marketingové, statistické, či dokonce bezpečnostní) bude ve většině případů vyžadovat výslovný souhlas subjektu údajů [článek 9 odst. 2 písm. a)], nicméně další vhodná výjimka dle článku 9 může být také aplikovatelná“.
V příkladu v bodu 77 dokumentu se pak výslovně uvádí „To ensure the lawfulness of the processing, the controller must always offer an alternative way to access the building, without biometric processing, such as badges or keys“, tj. „K zajištění zákonnosti zpracování musí správce vždy nabídnout alternativní způsob přístupu do budovy bez biometrického zpracování, jako jsou průkazky nebo klíče.“
Právě alternativní možnost je základní podmínkou skutečně svobodného souhlasu. Posouzení její existence jako důkazu o nadbytečnosti zpracování založeného na souhlasu pak autoři neváhají označit jako zcela absurdní. Platná právní úprava GDPR ani zák. č. 110/2019 Sb., o zpracování osobních údajů, nedává dle hodnocení autorů ÚOOÚ oprávnění zpochybnit zpracování kategorií údajů zahrnutých v poskytnutém souhlasu pro účely v souhlasu vymezené v situaci, kdy se jedná o zpracování legitimní, pro daný účel přiměřené, relevantní a omezené na nezbytný rozsah, a také souhlas splňuje požadavky stanovení GDPR.
Autoři jsou přesvědčeni, že v případě zpracování založeném na souhlasu, resp. výslovném souhlasu subjektu údajů, je obecně aplikace zásady minimalizace do jisté míry limitována právě poskytnutým souhlasem, a tedy nemožností ingerence orgánu dozoru do právního jednání učiněného svéprávnou fyzickou osobou; posuzování přiměřenosti, relevantnosti a nezbytného rozsahu se tak zaměří především na aspekt časový, tedy na to, zda zpracovávané údaje ještě stále tato kritéria splňují. Opačný závěr by totiž v praxi vedl k absurdním situacím, kdy by orgán dozoru byl oprávněn de facto negovat právní jednání svéprávné fyzické osoby, kterýmžto oprávněním ho zákonodárce (ani evropský zákonodárce) vybavit zajisté nemínil a ani z textu GDPR či jiného relevantního předpisu tak nelze usuzovat.
Podpis, v případě dokumentů v elektronické formě DBP, je dle hodnocení autorů zcela jednoznačně údajem přiměřeným, relevantním a omezeným na nezbytný rozsah ve vztahu k účelu zpracování, a to zvláště v případě, kdy je DBP zpracováván na základě výslovného souhlasu podepisující osoby. Ostatně i zákon č. 89/2012 Sb., občanský zákoník, je postaven na zásadě uplatňující se na posuzování soukromoprávních jednání, vyjádřené v § 574, dle které „Na právní jednání je třeba spíše hledět jako na platné než jako na neplatné.“
K riziku spojenému s DBP
Ještě je třeba připomenout bod 76 recitálu GDPR, podle kterého „Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.“ U implementací, na kterých se autoři podíleli (nutno podotknout, že se jednalo o správné implementace DBP, jak jsou popsány výše), byl výsledkem takového posouzení, tedy DPIA analýzy a znaleckého posudku na správnost implementace, závěr, že používání DBP pro podepisování dokumentů představuje pro dotčené subjekty údajů riziko zcela minimální. Dle názoru a dosavadních zkušeností autorů neexistuje důvod, pro který by v jiných budoucích případech za podmínky správné implementace DBP měl výsledek DPIA analýzy být odlišný. Naopak DBP je dle hodnocení autorů velmi účinným nástrojem pro snižování rizika obou stran. Autorům není známo, zda ÚOOÚ nebo správce v průběhu uvedeného řízení takový aspekt posuzovali, případně zda správce provedl posouzení vlivu na ochranu osobních údajů ještě před zahájením jejich zpracování podle čl. 35 GDPR. (Viz také bod 91 recitálu.)
Skutečné riziko DBP dle názoru autorů spočívá právě v nesprávné implementaci DBP, která by umožňovala jeho zneužití, resp. zneužití údajů osob, které by se při využití takto nesprávně implementovaného DBP podepisovaly. Dle názoru autorů by se právě tomuto riziku, které je zcela zásadní, měl ÚOOÚ věnovat, zdá se však, že ÚOOÚ si tohoto rizika patrně není vědom, možná kvůli nutnosti komplikovanějšího technického posouzení, a zaměřuje se tak na snadnější cíl, kterým je DBP sám o sobě.
Závěry
Na otázky, které si autoři položili v úvodu, odpovídají tedy následovně:
- Zda opravdu při používání DBP tak, jak je implementován v případech známých autorům, dochází k jedinečné identifikaci fyzických osob, jež je podle čl. 9 odst. 1 GDPR zakázána?
K jednání v rozporu s čl. 9 odst. 1 GDPR nedochází. Podepisující osoba je identifikována údaji uvedenými v otevřené formě v dokumentu, který podepisuje. DBP – tedy biometrické údaje neslouží k identifikaci, ale pouze naplňují požadavky ust. § 561-562 o. z. o právním jednání učiněném v písemné formě. Pokud není k dispozici databáze vzorů (šablon) DBP a nedochází k jejich porovnávání za účelem identifikace osoby, pak lze hovořit i o tom, že v takovém případě DBP vůbec nesplňuje pojmové znaky podle čl. 4 bod 14 GDPR a není biometrickým údajem.
2. Pokud subjekt údajů projeví svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým výslovně prohlášením či jiným zjevným potvrzením dává své svolení ke zpracování svých osobních údajů – v daném případě DBP, je nějaký důvod, aby se v takovém případě neuplatnil čl. 9 odst. 2 písm. a), podle kterého se odst. 1 nepoužije, pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů?
Dle závěrů autorů nikoli. Za podmínky, že poskytnutý výslovný souhlas splňuje požadavky GDPR, jedná se o zpracování legitimní, účel zpracování odpovídá účelu vymezenému v souhlasu a tento účel nadále trvá a také zpracovávané kategorie údajů odpovídají kategoriím vymezeným v souhlasu, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, není dle názoru autorů možné v mezích platné právní úpravy učinit závěr o nadbytečnosti údajů či jejich zpracování.
3. Zda vzhledem k účelu, ke kterému má používání DBP sloužit, je namístě striktně vyžadovat jeho náhradu prostým obrázkem podpisu?
Návrat k používání pouhého obrázku, navíc v digitální formě, kde nelze rozlišit originál a kopii, extrémním způsobem zvyšuje riziko zhotovení padělku nebo popírání pravosti vlastního podpisu. Požadavek na náhradu DBP prostým obrázkem podpisu na základě důvodu jeho údajné „nadbytečnosti“ je v rozporu s požadavky na snižování rizika a zvýšení spolehlivosti podepisovacího procesu. Proto je třeba tento krok hodnotit jako požadavek, který je v rozporu nejen se zájmy smluvních stran, ale i se současným požadavkem na zvyšování právní jistoty a bezpečnosti transakcí.
Nelze samozřejmě vyloučit, že se jedná o hluboké nedorozumění způsobené nedostatečným seznámením s technickou stránkou DBP, a o na straně účastníka řízení a následně ÚOOÚ, a z toho vyplývajícím závěrem o tom, že DBP je biometrickým údajem ve smyslu čl. 4 odst. 14 GDPR na základě pouhého výskytu slova „biometrický“ v názvu DBP. Mohla by tomu nasvědčovat i skutečnost, že jde o ryze české národní rozhodnutí, které se neopírá o žádné z autorům známých doporučení Evropského sboru pro ochranu osobních údajů. Tím spíše je třeba věnovat tomuto rozhodnutí a jeho analýze mimořádnou pozornost.
Závěrem považují autoři za vhodné ocitovat rozhodnutí Nejvyššího správního soudu, které souvisí s podepisováním.[7] Ve svém rozhodnutí NSS poměrně přiléhavě uvedl k podpisu jako takovému: „Podpis, není-li úředně ověřen, totiž za běžných okolností není nic víc než omezeně spolehlivý autentifikační prostředek – jeho přítomnost na podání obvykle zvyšuje pravděpodobnost, že je učinil vskutku ten, kdo v něm je za podatele označen, ale málokdy o tom dává jistotu. Za normálních okolností, chovají-li se lidé rozumně a poctivě, z čehož je nutno vycházet, je nepochybně jakousi ‚originální značkou‘ toho, kdo se podepsal. Není však příliš obtížné běžný (neověřený) podpis padělat, napodobit či vytvořit (ať ve zlém, či dobrém úmyslu) podání pouze navenek vypadající jako učiněné osobou, jež je v něm za podatele deklarována, a toto podání podepsat zcela jiným podpisem, než jaký skutečně užívá osoba, jíž je podání přičítáno.“ Právě proto, že – jak konstatuje NSS – je podpis pouze omezeně spolehlivý autentifikační prostředek, je tím plně odůvodněno v zájmu zvýšení právní jistoty všech smluvních stran místo obyčejného obrázku používání DBP, který výrazně zvyšuje možnost ověření jeho pravosti. Pokus o zamezení používání DBP, který by se dal dovozovat z předmětného rozhodnutí ÚOOÚ, tedy dle názoru autorů není v souladu s celospolečenskými zájmy.
Článek byl publikován v Advokátním deníku a v časopise Bulletin Advokacie č. 9/2019.
[1] Rozhodnutí Úřadu pro ochranu osobních údajů ze dne 21. 3. 2019, č. j. UOOU-10138/18-8.
[2] Rozhodnutí se kromě DBP také zabývá uchováváním záznamů telefonních hovorů s klienty dotyčného subjektu, v čemž spatřuje porušení zásady zpracování osobních údajů stanovené v čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679, tedy zásady, že osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“). Dále jsou v rozhodnutí posuzovány i další otázky procesního charakteru. Nic z toho ale není předmětem tohoto příspěvku.
[3] V. Smejkal: Dynamický biometrický podpis a nařízení GDPR, Revue pro právo a technologie, VIII., č. 16/2017, str. 89-112.
[4] Autoři se v tomto textu, s ohledem na jeho rozsah, omezují pouze na posouzení právního základu zpracování DBP v podobě souhlasu, jak tomu bylo v případě rozebíraného rozhodnutí. Nezabývají se tedy posouzením možného použití jiných právních základů dle čl. 9 odst. 2 GDPR, zejména zpracování nezbytného pro určení, výkon nebo obhajobu právních nároků.
[5] Evropský sbor pro ochranu osobních údajů je nezávislý evropský subjekt, který přispívá k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii a prosazuje spolupráci mezi úřady pro ochranu osobních údajů v EU. Je složen ze zástupců vnitrostátních úřadů pro ochranu údajů a evropského inspektora ochrany údajů (EIOÚ). Pokud jde o záležitosti týkající se obecného nařízení o ochraně osobních údajů, členy jsou rovněž vnitrostátní orgány dohledu států ESVO/EHP, a to bez práva hlasovat a být zvolen do funkce předsedy nebo místopředsedy. Evropský sbor pro ochranu osobních údajů (EDPB) byl zřízen obecným nařízením o ochraně osobních údajů a sídlí v Bruselu.
[6] European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices. Adopted on 10 July 2019. Version for public consultation. [online]. [cit. 2019-07-26]. Dostupné z: https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_cs.
[7] Rozsudek NSS ze dne 27. 7. 2017, sp. zn. 2 As 80/2017.
Diskuze k článku ()