Dynamický biometrický podpis nově vždy jako zvláštní kategorie osobních údajů
Úřad pro ochranu osobních údajů („Úřad“) mění svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru.
I tento (v praxi nejběžnější) způsob zpracování bude Úřad nově považovat za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.
Využívání dynamického biometrického podpisu
Využívání dynamického biometrického podpisu („DBP“), tj. nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu, není zejména v soukromé sféře žádnou novinkou. Biometrické autentizační technologie jsou na vzestupu a jsou stále dostupnější jak z technického, tak finančního hlediska. Přestože DBP byl a stále je tématem právních diskusí, praktické zavádění DBP se v České republice doposud nesetkalo s žádnými významnými problémy. DBP je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS[1], který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání.
DBP vzniká tak, že je snímán vlastnoruční podpis s využitím speciálního zařízení (signpadu) zaznamenávajícího data, která umožní analyzovat vlastnosti podpisu spojeného s typickým chováním podepisující se osoby (čas, tlak, velikost, zrychlení apod.). V souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 („GDPR“) se bezpochyby jedná o osobní údaj, tj. informaci o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím DBP snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány. Biometrickými údaji se podle GDPR rozumí „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje“.
Dosavadní postoj Úřadu
Úřad k variantám využití biometrických údajů z pohledu zpracování osobních údajů vydal v roce 2014 výkladové stanovisko č. 2/2014.[2] V tomto stanovisku Úřad uvedl, že v případě snímání DBP dochází automaticky ke zpracování citlivých údajů (v souladu s terminologií GDPR zvláštních kategorií osobních údajů). Dynamické prvky jsou speciální technologií cíleně vygenerovány a zachyceny jako přidaná hodnota k samotnému grafickému znázornění podpisu, takže grafické znázornění a biometrické údaje existují vedle sebe a v této podobě jsou s nimi prováděny i následné operace. Toto své stanovisko později Úřad při komunikací s odbornou veřejností[3] upřesnil tak, že v případě, kdy by byl DBP zpracováván nikoli primárně za účelem získání biometrických údajů, ale klasickým způsobem jako běžný písemný podpis, nejednalo by se o zpracování citlivého osobního údaje. Pokud by tedy bylo s DBP nakládáno stejným způsobem jako s podpisem „na papír“, jednalo by se pouze o jiný prostředek podpisu, tj. subjekt údajů by učinil podpis na elektronickém zařízení, které podpis uloží, nikoli na klasickém papírovém dokumentu. V praxi většina subjektů zabezpečuje podpisy tak, že biometrická data opustí snímací zařízení pouze v zašifrovaném tvaru způsobem, který neumožňuje zpětnou rekonstrukci jejich biometrických charakteristik, a podpis je připojen k podepisovanému dokumentu takovým způsobem, aby byla zajištěna jeho integrita (ochrana proti jakékoli změně).
Kontrolní zjištění a posun v kvalifikaci dynamického biometrického podpisu
V souvislosti s účinností GDPR a zařazením biometrických údajů mezi zvláštní kategorie osobních údajů Úřad uveřejnil zprávu o změně v hodnocení úrovně právní ochrany biometrických údajů.[4] Úřad naznačil, že do budoucna nebude rozlišovat mezi výše uvedenými různými variantami technických řešení využívání biometrických údajů. Dle Úřadu by měl být jakýkoliv systém, který shromažďuje biometrická data za účelem identifikace konkrétních osob, považován za systém zpracovávající zvláštní kategorii osobních údajů. Úřad se v tomto ohledu rozchází se známým názorem odborné veřejnosti, který považuje biometrická data v DBP za data nesloužící k identifikaci podepisující osoby, a dochází tak k závěru, že na ně nelze použít aktuální přístup Úřadu.[5]
I přes skutečnost, že formálně ze strany Úřadu nedošlo k nahrazení výše zmíněného stanoviska č. 2/2014 stanoviskem novým, Úřad v rámci nedávné kontroly společnosti BNP Paribas Personal Finance SA[6] potvrdil, že ke zpracování biometrických údajů v momentě uzavírání smlouvy je potřeba výslovný souhlas subjektu údajů dle článku 9 odst. 2 písm. a) GDPR. Dle názoru Úřadu nepřichází jiný právní základ dle uvedeného článku 9 GDPR pro tyto účely v úvahu. Konkrétně v kontextu DBP se jedná nejen o případy, kdy dochází k vytvoření referenčního vzoru podpisu (zde se postoj Úřadu nezměnil), ale i pro případy užití DBP pouze v rámci podpisu jednotlivých elektronických dokumentů v zašifrovaném tvaru, což představuje značný posun v přístupu Úřadu k této problematice.
Vedle výše uvedeného posunu vnímání DBP Úřad v rámci kontroly rovněž konstatoval, že u některých subjektů (typicky se bude jednat o banky, pojišťovny apod.) není zpracování DBP za účelem „zjednodušení identifikace klienta“ v souladu s předpisy pro ochranu osobních údajů. Tyto subjekty dle Úřadu zpracovávají o svých klientech takové množství osobních údajů, že zpracování DBP porušuje zásadu minimalizace osobních údajů, jelikož pro tento účel není zpracování DBP nezbytné a ani výslovný souhlas subjektu údajů nezbavuje správce povinnosti postupovat v souladu se zásadami zpracování osobních údajů. Využití biometrických charakteristik podpisu je pak dle Úřadu na místě pouze pro případ zpochybnění pravosti podpisu smlouvy.
[1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
[2] Stanovisko č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů: Úřad pro ochranu osobních údajů. Dostupné z: https:// www.uoou.cz/stanovisko-c-2-2014-dynamicky-biometricky-podpis-z-pohledu-zakona-o-ochrane-osobnich-udaju/d-11298.
[3] Zejména opakovaná komunikace naší kanceláře s Úřadem v rámci klientských zadání.
[4] Změna v hodnocení úrovně právní ochrany biometrických údajů: Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/zmena-v-hodnoceniurovne-pravni-ochrany-biometrickych-udaju/d-23850.
[5] Názor obsažen např. v SMEJKAL, Vladimír. Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie. [Online]. 2017, č. 16, s. 89-112. [cit. 2019-04-16]. Dostupné z: https://journals.muni.cz/revue/article/view/8282.
[6] Kontrola zpracování osobních údajů klientů při tzv. nákupu na splátky (BNP Paribas Personal Finance SA, odštěpný závod): Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5394&n=kontrola-zpracovani-osobnich-udaju-klientu-pri-tzvnakupu-na-splatky-bnp-paribas-personal-finance-sa-odstepny-zavod.
Další články
5 otázek pro Petra Kohouta: Jak AI mění pravidla veřejných zakázek?
Mgr. Petr Kohout, LL.M. není typický úředník. Jako vedoucí právního oddělení Krajského úřadu Středočeského kraje má na starosti mimo jiné metodiku veřejných zakázek – a zároveň patří k nejhlasitějším propagátorům umělé inteligence ve veřejné správě v Česku. Dvakrát po sobě získal titul Osobnost AI v kategorii veřejná správa, stojí u zrodu Platformy pro AI ve veřejné správě a je spoluautorem e-booku Nástroje AI ve veřejné správě. Na Kongresu Právní prostor 2026, který se konal 28.-29. dubna 2026, vystoupil s příspěvkem „Umělá inteligence ve veřejných zakázkách".
Kdy musí management začít řešit úpadek společnosti?
Turbulentní ekonomické prostředí posledních let přináší otázku, kterou si dnes klade stále více podnikatelů i manažerů: Kdy už je situace firmy natolik vážná, že management musí začít řešit hrozící úpadek?
Investování pod dohledem: Jak regulace formuje crowdfunding úvěrů
Rozvoj investičních platforem přináší vedle nových příležitostí i otázky právní odpovědnosti, regulace a ochrany investorů. V tomto rozhovoru jsme se s Lukášem Hartlem, novým CEO a jednatelem platformy CreditShare, bavili o tom, jak fungují klíčové kontrolní mechanismy, kde vznikají rizika a jakou roli hraje dohled při budování důvěry v tento typ investování.
Kryptoměny a realitní úschova v roce 2026: Legislativní limity tokenizovaných transakcí a smart kontraktů
Vstup kryptoaktiv do hlavního proudu realitního trhu v roce 2026 již není pouhou technologickou kuriozitou, ale pragmatickou výzvou pro právní praxi.
Kongres Právní prostor 2026: legislativní změny, AI a justiční blok
Kongres Právní prostor se dočkal již svého 14. ročníku. V Seči u Chrudimi se sešlo přes 150 účastníků a 16 přednášejících, aby se věnovali tématům, která aktuálně hýbou světem práva – od legislativních změn přes AI až po aktuální otázky justice.
.webp)
