Je používání dynamického biometrického podpisu v rozporu s GDPR? - část II.

Předcházející část článku naleznete zde.

Zabezpečení DBP 

Jak obrázek podpisu, tak s ním spojená biometrická data je třeba:

1. neoddělitelně spojit s obsahem podepisovaného dokumentu,
2. zabránit jeho extrakci z dokumentu, a tedy možnému zneužití (připojením k jinému dokumentu).

Při správné implementaci systému používajícího DBP to není nic obtížného a autorům je známa řada implementací, které zaručují uvedené požadavky.

Zabezpečení DBP je obvykle řešeno takto: vektor dat, reprezentujících DBP (viz výše), opustí snímací zařízení (tablet, speciální pad) pouze v zašifrovaném tvaru, tj. některou z kryptografických metod. Na tento zabezpečený přenos bio­metrických dat ze snímače do počítače bezprostředně navazuje požadavek na jednoznačné a neprolomitelné spojení DBP s podepisovaným dokumentem (typicky šifrovaný přenos dat mezi PC a podložkou s použitím algoritmu AES 256 a výměnou šifrovacích klíčů použitím asymetrické kryptografie, např. RSA).[3] Pro tyto účely je opět možné použít kryptografickou metodu, a to jak pro vytvoření hashe dokumentu,[4] tak pro ochranu integrity podepsaného hashe standardním (kryptografickým) elektronickým podpisem nebo elektronickou pečetí. Podstatným rozdílem nicméně je, že použití asymetrické kryptografie (tedy vytvoření podpisu či pečeti pomocí soukromého klíče) není požadováno na straně klienta (uživatele), ale je otázkou řešení celého systému, tj. chová se z hlediska uživatele (podepisující osoby) jako „černá skříňka“ a nezatěžuje jej žádnými technickoorganizačními požadavky.

Poskytovatelé řešení zajišťují bezpečnost DBP tak, že vytvářejí řadu hashů a provádějí podepisování a šifrování např. takto:

1. Aplikace (dále též „AP“) v počítači ustaví šifrovanou komunikaci s podepisovacím zařízením (v tomto případě algoritmem AES-256). Výměna klíče proběhne pomocí Diffie-Hellman-Merkle protokolu. Během podpisu jsou tímto zabezpečeným kanálem přenášena biometrická data do AP.

2. Uživatel se podepíše na podepisovací tablet. Data reprezentující podpis jsou šifrovaným kanálem ad 1. přenesena do paměti počítače.

3. Na základě biometrických dat AP vytvoří (viditelný) statický obrázek podpisu a vloží jej do dokumentu.

4. K biometrickým datům jsou připojeny další údaje (sériové číslo zařízení, časové razítko), což zajistí, že biometrická data nemohou být umístěna do jiného dokumentu, resp. že toto zneužití je možné zjistit.

5. V zařízení jsou zašifrována biometrická data symetricky (AES-256) a použitý symetrický klíč pak AP zašifruje pomocí veřejného klíče asymetricky (RSA-2048).[5]

6. AP vloží zašifrovaná biometrická data do dokumentu ve formátu PDF.

7. AP spočítá HASH1 (algoritmem SHA-256) z obsahu dokumentu a zašifrovaných biometrických dat. HASH1 slouží pro kontrolu integrity dokumentu a zašifrovaných bio­metrických dat. HASH1 je podepisován veřejným klíčem.

8. AP vloží podepsaný HASH1 a příslušný veřejný klíč do dokumentu.

9. AP spočítá HASH2 (algoritmem SHA-256) z HASH1 a nezašifrovaných biometrických dat a uloží jej do dokumentu. HASH2 zajišťuje propojení dokumentu a biometrického podpisu.

10. AP smaže z paměti počítače nezašifrovaná biometrická data a všechny spočítané hashe (HASH1 a HASH2).

Souhrnně lze tedy říci, že:

1. biometrická data jsou ihned po sejmutí šifrována a nikdy nejsou zobrazena (ani dostupná) v otevřeném tvaru; výjimkou je forenzní zkoumání – viz ad 3. níže,

2. jsou používána výlučně pro vytvoření podpisu, tedy nikoli pro identifikaci nebo autentizaci subjektu údajů,

3. jediná možnost, jak se dostat k původním biometrickým údajům, je mimořádná situace – dokazování v rámci soudního sporu či trestního řízení. V takovém případě je třeba získat přístup ke klíči, kterým byla biometrická data zašifrována, což absolutní většina projektů řeší úschovou klíče u třetí osoby, obvykle u certifikační autority, která klíč střeží. Značně formalizovaným postupem, obvykle popsaným v podmínkách používání DBP (např. všeobecných obchodních podmínkách) a za účasti notáře a soudního znalce je možné v takovém případě podpis extrahovat z konkrétního dokumentu a lze jej prověřit buď automaticky pomocí softwarového nástroje porovnávajícího podpisy mezi sebou, nebo předat písmoznalci.

Jak to bylo podle zák. č. 101/2000 Sb. 

Právní úprava zavedla v rámci § 4 písm. b) zák. č. 101/2000 Sb. kategorii tzv. citlivých údajů, což jsou osobní údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů, a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.[6]

Tato formulace se objevila až v posledních letech po novele zákona provedené zákonem č. 170/2007 Sb., kterým se mění některé zákony v souvislosti se vstupem České republiky do Schengenského prostoru,[7] s poněkud překvapivým odůvodněním: „S přihlédnutím k dosud platné definici citlivých údajů by byly na veškeré biometrické údaje ve všech státních evidencích a registrech, které náleží do agendy SIS, kladeny nepřiměřené požadavky (odlišné od praxe v Evropské unii). Navrhuje se proto upřesnit definici citlivého údaje stále častěji využívaného v oblasti bezpečnosti a policejní praxe, a tím i omezit příslušné povinnosti správce a zpracovatele na užší, skutečně ‚citlivou‘, množinu biometrických údajů. Důvodem pro zpřesnění definice biometrického údaje jako citlivého údaje je skutečnost, že nikoli každý biometrický údaj sám o sobě umožňuje přímo identifikovat nebo autentizovat subjekt údajů. Tyto biometrické údaje v důsledku uvedeného nemohou být citlivými údaji. Proto podle navrhované právní úpravy je citlivým údajem pouze ten biometrický údaj, který umožňuje bezprostřední identifikaci nebo autentizaci subjektu údajů bez spojení s jinými údaji, tj. svou kvalitou obvykle slouží k zajištění bezpečnosti či stanovení určité míry důvěry spojených s nositeli těchto údajů. Použití takových údajů v úředních agendách (např. v souvislosti s cestovními pasy) již v současnosti upravují některé předpisy Evropských společenství.“[8] Není zřejmé, proč právě tyto biometrické údaje mají být citlivější než některé jiné.

Z hlediska DBP nás dále bude zajímat, že podle § 9 tohoto zákona „citlivé údaje je možné zpracovávat, jen jestliže“ podle písm. a) „subjekt údajů dal ke zpracování výslovný souhlas“, nebo jestliže podle písm. h) „je zpracování nezbytné pro zajištění a uplatnění právních nároků“.

Identifikace versus autentizace 

Co to ona identifikace nebo autentizace subjektu údajů je? Identifikaci lze stručně definovat jako zjištění identity (totožnosti) subjektu, které se provádí porovnáváním osobních údajů nebo projevů osobní povahy fyzické osoby s jinými, které jsou obvykle zachyceny na nějakém nosiči, zatímco autentizaci jako ověření, že subjekt je tím, za koho se prostřednictvím této identity vydává. V praxi se identifikace na písemném dokumentu provádí nejčastěji uvedením jména, příjmení, adresy, případně jiných údajů o dotčené osobě (rodné číslo, datum narození apod.). Autentizace, tj. ověření, že dokument skutečně podepsala uvedená osoba, se provádí podpisem, podpisem před svědky, ověřením totožnosti pověřenou osobou; za nejjistější je zatím stále považována legalizace formou úředně ověřeného podpisu nebo notářského zápisu.[9]

Jak uvádí Nejvyšší správní soud: „Obecně lze fyzickou osobu považovat za ‚identifikovanou‘, jestliže je ve skupině osob odlišena ode všech ostatních příslušníků této skupiny. V souladu s tím je fyzická osoba ‚identifikovatelná‘, jestliže je možné ji identifikovat (přípona ‚-elná‘ vyjadřuje možnost), ačkoli dosud identifikována nebyla. Tato druhá alternativa proto v praxi představuje prahovou podmínku určující, zda informace vyhovuje definici osobního údaje.“[10]

Co se týče biometrik, pak aby byla osoba podle nějaké biometrické charakteristiky identifikovatelná, musí existovat seznam (databáze), v níž bude k určité biometrické charakteristice nebo souboru biometrických charakteristik přiřazen jednoznačný identifikátor konkrétní osoby. Příklad: evidence otisků prstů. U těchto statických biometrik, které (s výjimkou jednovaječných dvojčat) mohou být jednoznačně přiřazeny konkrétní osobě, to je docela jednoduché. Zcela jinak tomu je u dynamických biometrik (psaní, řeč, chůze atd.), které musejí uvádět i pravděpodobnostní údaj určující, s jakou pravděpodobností se jedná o tuto osobu (např. shoda DBP nad 90 % je považována za zcela jistou). V případě pochybnosti bude muset ověřující osoba provést další identifikaci či autentizaci subjektu údajů na základě jiného parametru dané osoby.

Jednomu z autorů je známo, že v odpovědi na konkrétní dotaz v souvislosti se zaváděním DBP se ve druhé polovině roku 2016, tedy sice ještě v režimu podle ZOOÚ, nicméně již po nabytí platnosti GDPR, ÚOOÚ vyjádřil tak, že „pokud tzv. dynamický biometrický podpis bude využíván stejně jako podpis klasický, tzn. jeho využití nebude spojeno s dalším automatickým zpracováním biometrických údajů (např. porovnávání podpisu s podpisovým vzorem za využití biometrických dat), bude se jednat o zpracování probíhající ve stejném právním režimu jako při zpracování klasického podpisu“. Na vysvětlení: bude tedy docházet k autentizaci (toho, co bylo podepsáno), nikoli identifikaci podepsané osoby. Zdálo by se, že ÚOOÚ se v tomto případě držel standardních interpretačních metod. Bohužel, v souvislosti s nabytím účinnosti GDPR je v případě DBP poněkud opustil.

Dne 8. 6. 2017 vydal ÚOOÚ informaci označenou jako Stanovisko č. 1/2017 „Změna v hodnocení úrovně právní ochrany biometrických údajů,“[11] kde se zejména uvádí: „Dne 25. května 2018 nabývá účinnosti evropský předpis, který nově nastavuje ochranu osobních údajů mj. z důvodu proměn a rychlého rozvoje technologií, tzv. obecné nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady č. 2016/679). Ve svém čl. 9 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických šablon (template) a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů.

Obecné nařízení v otázkách zpracování biometrických údajů plně nahradí dosud platné ustanovení zákona o ochraně osobních údajů, nebude tedy možno postupovat v mezích dosavadního stanoviska Úřadu pro ochranu osobních údajů. Kontroly zpracování osobních údajů prováděné v současné době jsou již vedeny s přihlédnutím k této skutečnosti a kontrolní závěry budou formulovány takovým způsobem, aby správci osobních údajů měli informace o postupu, který nebude v rozporu s obecným nařízením. V návaznosti na výsledky kontrol ÚOOÚ zveřejní aktuální stanovisko k biometrickým údajům. Biometrické technologie, přes jejich stále větší dostupnost a dosažitelnost (technickou i finanční), nejsou plnou náhradou jiných bezpečnostních řešení a samy o sobě nezajišťují větší bezpečnost. Správci pořizující si takové systémy mají nejen povinnost posoudit přiměřenost konkrétního řešení a rizika s ním spojená (např. systémů s databázemi biometrických šablon), ale také musí vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními. Správci musí předem i průběžně posuzovat účinnost biometrických systémů a také přitom zkoumat, zda existují vážné hrozby, které instalaci takových systémů odůvodňují.“

Za pozornost stojí část, kde se výslovně hovoří o šablonách a jejich použití při zpracování za účelem identifikace osob. Podle normy ČSN ISO/IEC 19795-1 se šablonou rozumí uložená referenční míra uživatele, založená na rysech extrahovaných ze zaznamenaných vzorků.[12] Čili pro jiný přístup k posuzování zpracování biometrických údajů po nabytí účinnosti GDPR je tedy třeba splnění těchto dvou podmínek:

1. existence šablony,
2. použití za účelem identifikace osob.

Pokud bude existovat seznam biometrických charakteristik osob, které mohou vstoupit do určitého objektu, aniž by ke každé charakteristice bylo přiřazeno, o koho se jedná, nejde podle názoru autorů o identifikaci, ale pouze o autentizaci. Ví se, že vstoupila oprávněná osoba, ale nikoli která.

Výše citované vyjádření proto nebylo považováno za signál ÚOOÚ ve změně přístupu k DBP, protože se zde výslovně hovořilo o identifikaci, což nemá s podepisováním nic společného. Samotný vlastnoruční podpis (bez ohledu na to, zda je či není čitelný) nemůže jednoznačně identifikovat fyzickou osobu, protože postrádá další rozlišovací (zpřesňující) údaje.

Následně pod stejným číslem a stejným datem, jakkoli to je dosti zvláštní, publikoval Úřad jiné Stanovisko č. 1/2017 „Biometrická identifikace nebo autentizace zaměstnanců“, které v úvodu opakuje předchozí upozornění a dále se zabývá přístupovými a docházkovými systémy.[13] Toto stanovisko je psáno v mantinelech platného zákona o ochraně osobních údajů, nicméně v poznámkovém aparátu se v některých případech odkazuje na úpravu podle GDPR, ovšem značně nekonkrétně.

Právní úprava podle GDPR 

Podle čl. 4 odst. 14 se biometrickými údaji rozumí osobní údaje vyplývající z konkrétního technického zpracování, týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, např. zobrazení obličeje nebo daktyloskopické údaje. Sejmutý DBP na příslušném zařízení, tedy ještě předtím, než jej opustí a bez dalšího zpracování, tedy bude spadat do této kategorie údajů. V tomto okamžiku tedy dochází ke zpracování podle definice GDPR v čl. 4 odst. 2.[14]

V recitálu GDPR jsou v bodech 14 a 15 podrobněji popsány genetické údaje a údaje o zdravotním stavu. Další upřesnění k údajům biometrickým zde nenajdeme.

Podle čl. 9 odst. 1 se „zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“.

DBP by se mohl za určitých okolností týkat zákaz zpracování „biometrických údajů za účelem jedinečné identifikace fyzické osoby“. A contrario, nebudou-li biometrické údaje zpracovávány za tímto účelem, pak se zjevně na ně tento zákaz nevztahuje – např. při autentizaci. Je totiž zřejmé, že evropský zákonodárce v případě biometrických údajů, na rozdíl od ostatních údajů spadajících do zvláštních kategorií osobních údajů, zamýšlel zakázat jejich zpracování pouze v určitých případech, tedy pouze za účelem jedinečné identifikace fyzické osoby; zpracování veškerých ostatních údajů v rámci zvláštních kategorií osobních údajů je dle rozebíraného čl. 9 odst. 1 zakázáno bez ohledu na účel, přičemž možné výjimky se nacházejí v odst. 2.

Modelovým případem tedy bude situace, kdy osoba před ověřením její identity otiskem prstu zadá své jméno či jiný jednoznačný identifikátor do systému (tím dojde k identifikaci) a otiskem prstu bude osoba autentizována, aniž by tyto biometrické údaje byly k identifikaci použity.

Autorům není příliš jasné, proč se vůbec objevily biometrické údaje bez nějakého dalšího rozlišování a členění jako citlivé údaje, resp. proč je jejich zpracování upraveno s tolika restrikcemi. Vycházejí nicméně z této skutečnosti a veškeré úvahy v tomto textu uvedené ji respektují.

Následující část naleznete zde.

Článek byl publikován v Advokátním deníku a v časopise Bulletin Advokacie č. 9/2019.

---

[1] Rozhodnutí Úřadu pro ochranu osobních údajů ze dne 21. 3. 2019, č. j. UOOU-10138/18-8.

[2] Rozhodnutí se kromě DBP také zabývá uchováváním záznamů telefonních hovorů s klienty dotyčného subjektu, v čemž spatřuje porušení zásady zpracování osobních údajů stanovené v čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679, tedy zásady, že osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“). Dále jsou v rozhodnutí posuzovány i další otázky procesního charakteru. Nic z toho ale není předmětem tohoto příspěvku.

[3] Vlastní data jsou šifrována blokovou šifrou AES veřejným klíčem podle algoritmu RSA, který zajišťuje, že se k datům dostane pouze oprávněná osoba a za zvláštních podmínek (počítač provádí další zpracování zašifrovaného podpisu).

[4] Hashováním nazýváme převod obsahu dokumentu matematicko-kryptografickou metodou na jeho reprezentaci řetězcem čísel s pevně definovanou délkou pomocí jednocestné funkce, dnes např. SHA-256 a vyšší. Tím získáme standardní otisk (hash) z jakéhokoli dokumentu, který je následně jedním ze vstupů do procesu podepsání. Více o hashích viz např. P. Mates, V. Smejkal: E-government v České republice, Právní a technologické aspekty, 2. vydání, Leges, Praha 2012, str. 286 a násl.

[5] AES-256 je algoritmus používaný k symetrickému šifrování dat, šifrující i dešifrující stejným klíčem na obou stranách, o délce klíče 256 bitů. Diffie-Hellman-Merkle protokol je kryptografická metoda, která umožňuje přes nezabezpečený kanál vytvořit šifrované spojení mezi komunikujícími stranami, a to bez nutnosti předchozího dohodnutí šifrovacího klíče. (Je to alternativa k RSA.) Výsledkem je vytvoření symetrického šifrovacího klíče, který je efektivnější a může být použit pro šifrování další komunikace. RSA-2048 je algoritmus používaný k asymetrickému šifrování dat, který se dá používat pro podepisování i šifrování dokumentů, protože používá soukromý a veřejný klíč o délce 2 048 bitů. Viz např. S. Singh: Kniha kódů a šifer, 1. vydání, Argo, Praha 2003.

[6] Ochrana biometrických údajů byla na základě poslaneckého pozměňovacího návrhu začleněna do zákona zákonem č. 439/2004 Sb. Formulace „biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů“ se objevila až v rámci novely zákona o ochraně osobních údajů provedené zákonem č. 170/2007 Sb.

[7] Do té doby byly v zákoně č. 101/2000 Sb. citlivé osobní údaje vymezeny tak, že je „citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoli biometrický nebo genetický údaj subjektu údajů“.

[8] Parlament České republiky, Poslanecká sněmovna, Důvodová zpráva k návrhu zákona, kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru, sněmovní tisk č. 187, V. volební období, 2007.

[9] Podle P. Mates, P. V. Smejkal, op. cit. sub 9, str. 272 a násl.

[10] Rozsudek Nejvyššího správního soudu ze dne 27. 2. 2014, sp. zn. 4 As 132/2013.

[11] Úřad pro ochranu osobních údajů: Změna v hodnocení úrovně právní ochrany biometrických údajů [online]. [cit. 2017-21-11]. Dostupné z: https://www.uoou.cz/zmena-vhodnoceni-urovne-pravni-ochrany-biometrickych-udaju/d-23850.

[12] ČSN ISO/IEC 19795-1. Informační technologie – Testování a hodnocení výkonnosti biometrik – Část 1: Principy a základní struktura.

[13] Úřad pro ochranu osobních údajů: Stanovisko č. 1/2017 – Biometrická identifikace nebo autentizace zaměstnanců [online]. [cit. 2017-21-11]. Dostupné z: https://www.uoou.cz/stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizacezamestnancu/d-23849/p1=1099.

[14] Zpracováním se rozumí jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.