Dynamický biometrický podpis nově vždy jako zvláštní kategorie osobních údajů Zdroj: Fotolia

Dynamický biometrický podpis nově vždy jako zvláštní kategorie osobních údajů

Úřad pro ochranu osobních údajů („Úřad“) mění svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru.

Mgr. František Korbel Ph.D.

Mgr. František Korbel, Ph.D.

partner, HAVEL & PARTNERS s.r.o., advokátní kancelář

Mgr. František Korbel, Ph.D.

partner, HAVEL & PARTNERS s.r.o., advokátní kancelář

JUDr. Dalibor Kovář

JUDr. Dalibor Kovář

senior advokát, HAVEL & PARTNERS s.r.o., advokátní kancelář

JUDr. Dalibor Kovář

senior advokát, HAVEL & PARTNERS s.r.o., advokátní kancelář

Mgr. Robert Nešpůrek LL.M.

Mgr. Robert Nešpůrek, LL.M.

partner, HAVEL & PARTNERS s.r.o., advokátní kancelář

Mgr. Robert Nešpůrek, LL.M.

partner, HAVEL & PARTNERS s.r.o., advokátní kancelář

Mgr. Richard Otevřel

Mgr. Richard Otevřel

counsel, HAVEL & PARTNERS s.r.o., advokátní kancelář

Mgr. Richard Otevřel

counsel, HAVEL & PARTNERS s.r.o., advokátní kancelář

I tento (v praxi nejběžnější) způsob zpracování bude Úřad nově považovat za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.

Využívání dynamického biometrického podpisu

Využívání dynamického biometrického podpisu („DBP“), tj. nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu, není zejména v soukromé sféře žádnou novinkou. Biometrické autentizační technologie jsou na vzestupu a jsou stále dostupnější jak z technického, tak finančního hlediska. Přestože DBP byl a stále je tématem právních diskusí, praktické zavádění DBP se v České republice doposud nesetkalo s žádnými významnými problémy. DBP je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS[1], který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání. 

DBP vzniká tak, že je snímán vlastnoruční podpis s využitím speciálního zařízení (signpadu) zaznamenávajícího data, která umožní analyzovat vlastnosti podpisu spojeného s typickým chováním podepisující se osoby (čas, tlak, velikost, zrychlení apod.). V souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 („GDPR“) se bezpochyby jedná o osobní údaj, tj. informaci o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím DBP snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány. Biometrickými údaji se podle GDPR rozumí „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje“.

Dosavadní postoj Úřadu

Úřad k variantám využití biometrických údajů z pohledu zpracování osobních údajů vydal v roce 2014 výkladové stanovisko č. 2/2014.[2] V tomto stanovisku Úřad uvedl, že v případě snímání DBP dochází automaticky ke zpracování citlivých údajů (v souladu s terminologií GDPR zvláštních kategorií osobních údajů). Dynamické prvky jsou speciální technologií cíleně vygenerovány a zachyceny jako přidaná hodnota k samotnému grafickému znázornění podpisu, takže grafické znázornění a biometrické údaje existují vedle sebe a v této podobě jsou s nimi prováděny i následné operace. Toto své stanovisko později Úřad při komunikací s odbornou veřejností[3] upřesnil tak, že v případě, kdy by byl DBP zpracováván nikoli primárně za účelem získání biometrických údajů, ale klasickým způsobem jako běžný písemný podpis, nejednalo by se o zpracování citlivého osobního údaje. Pokud by tedy bylo s DBP nakládáno stejným způsobem jako s podpisem „na papír“, jednalo by se pouze o jiný prostředek podpisu, tj. subjekt údajů by učinil podpis na elektronickém zařízení, které podpis uloží, nikoli na klasickém papírovém dokumentu. V praxi většina subjektů zabezpečuje podpisy tak, že biometrická data opustí snímací zařízení pouze v zašifrovaném tvaru způsobem, který neumožňuje zpětnou rekonstrukci jejich biometrických charakteristik, a podpis je připojen k podepisovanému dokumentu takovým způsobem, aby byla zajištěna jeho integrita (ochrana proti jakékoli změně).

Kontrolní zjištění a posun v kvalifikaci dynamického biometrického podpisu

V souvislosti s účinností GDPR a zařazením biometrických údajů mezi zvláštní kategorie osobních údajů Úřad uveřejnil zprávu o změně v hodnocení úrovně právní ochrany biometrických údajů.[4] Úřad naznačil, že do budoucna nebude rozlišovat mezi výše uvedenými různými variantami technických řešení využívání biometrických údajů. Dle Úřadu by měl být jakýkoliv systém, který shromažďuje biometrická data za účelem identifikace konkrétních osob, považován za systém zpracovávající zvláštní kategorii osobních údajů. Úřad se v tomto ohledu rozchází se známým názorem odborné veřejnosti, který považuje biometrická data v DBP za data nesloužící k identifikaci podepisující osoby, a dochází tak k závěru, že na ně nelze použít aktuální přístup Úřadu.[5]

I přes skutečnost, že formálně ze strany Úřadu nedošlo k nahrazení výše zmíněného stanoviska č. 2/2014 stanoviskem novým, Úřad v rámci nedávné kontroly společnosti BNP Paribas Personal Finance SA[6] potvrdil, že ke zpracování biometrických údajů v momentě uzavírání smlouvy je potřeba výslovný souhlas subjektu údajů dle článku 9 odst. 2 písm. a) GDPR. Dle názoru Úřadu nepřichází jiný právní základ dle uvedeného článku 9 GDPR pro tyto účely v úvahu. Konkrétně v kontextu DBP se jedná nejen o případy, kdy dochází k vytvoření referenčního vzoru podpisu (zde se postoj Úřadu nezměnil), ale i pro případy užití DBP pouze v rámci podpisu jednotlivých elektronických dokumentů v zašifrovaném tvaru, což představuje značný posun v přístupu Úřadu k této problematice.

Vedle výše uvedeného posunu vnímání DBP Úřad v rámci kontroly rovněž konstatoval, že u některých subjektů (typicky se bude jednat o banky, pojišťovny apod.) není zpracování DBP za účelem „zjednodušení identifikace klienta“ v souladu s předpisy pro ochranu osobních údajů. Tyto subjekty dle Úřadu zpracovávají o svých klientech takové množství osobních údajů, že zpracování DBP porušuje zásadu minimalizace osobních údajů, jelikož pro tento účel není zpracování DBP nezbytné a ani výslovný souhlas subjektu údajů nezbavuje správce povinnosti postupovat v souladu se zásadami zpracování osobních údajů. Využití biometrických charakteristik podpisu je pak dle Úřadu na místě pouze pro případ zpochybnění pravosti podpisu smlouvy.

 


[1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. 

[2] Stanovisko č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů: Úřad pro ochranu osobních údajů. Dostupné z: https:// www.uoou.cz/stanovisko-c-2-2014-dynamicky-biometricky-podpis-z-pohledu-zakona-o-ochrane-osobnich-udaju/d-11298.

[3] Zejména opakovaná komunikace naší kanceláře s Úřadem v rámci klientských zadání.

[4] Změna v hodnocení úrovně právní ochrany biometrických údajů: Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/zmena-v-hodnoceniurovne-pravni-ochrany-biometrickych-udaju/d-23850.

[5] Názor obsažen např. v SMEJKAL, Vladimír. Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie. [Online]. 2017, č. 16, s. 89-112. [cit. 2019-04-16]. Dostupné z: https://journals.muni.cz/revue/article/view/8282

[6] Kontrola zpracování osobních údajů klientů při tzv. nákupu na splátky (BNP Paribas Personal Finance SA, odštěpný závod): Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5394&n=kontrola-zpracovani-osobnich-udaju-klientu-pri-tzvnakupu-na-splatky-bnp-paribas-personal-finance-sa-odstepny-zavod.

smlouva ochrana osobních údajů elektronický podpis Úřad pro ochranu osobních údajů

Líbil se vám náš článek, prosím, ohodnoťte ho
Hodnotili 2 čtenáři

Diskuze k článku 0 komentářů

Všechny komentáře se zobrazí po vstupu do diskuze

Vstoupit do diskuze

Nejoblíbenější články