V posledních měsících vzbudil Úřad pro ochranu osobních údajů („Úřad“) pozornost jak odborné, tak laické veřejnosti svými rozhodnutími či vyjádřeními ohledně zpracování biometrických údajů, konkrétně ve vztahu k dynamickému biometrickému podpisu a docházkovým systémům. Jelikož se jedná o problematiku, ohledně níž existuje s ohledem na novou právní úpravu ochrany osobních údajů řada otevřených otázek, liší se i názory a přístupy odborníků k tomu, za jakých podmínek lze jejich zpracování provádět. Co odborná diskuse aktuálně řeší?
K problematice zpracování biometrických údajů se Úřad vyjádřil jednak ve stanovisku č. 2/2014 (které pojednává o dynamickém biometrickém podpisu z pohledu původního zákona o ochraně osobních údajů) a stanovisku č. 1/2017 (které pojednává o biometrické identifikaci a autentizaci zaměstnanců a je současně aktualizací dříve vydaného stanoviska č. 3/2009 na toto téma). K textu tohoto stanoviska přitom Úřad na jaře loňského roku vydal prohlášení, že s nadcházející účinností Obecného nařízení o ochraně osobních údajů („GDPR“) bude třeba změnit i právní pohled na technologie zpracovávající osobní údaje.
Takřka rok po aktualizaci výše uvedeného stanoviska Úřad vydal poměrně kontroverzní rozhodnutí, jímž uložil pokutu 250000 Kč odštěpnému závodu zahraniční banky, a to za porušení zásady minimalizace při uzavírání úvěrových smluv se svými klienty za využití tzv. dynamického biometrického podpisu, což Úřad vyhodnotil za sběr tzv. citlivých údajů. Úřad v daném případě došel k závěru, že snímání biometrie podpisu je i přes souhlas udělený klientem nadbytečné a pro účely deklarované bankou postačí toliko prostý záznam obrazu podpisu klienta.
Zpracování citlivých údajů, v terminologii GDPR nazývaných „zvláštní kategorie údajů“, je GDPR obecně zakázáno, ledaže lze aplikovat specifické výjimky z tohoto pravidla, které lze chápat jako specifické právní tituly, jejichž podmínky aplikace je obecně obtížnější naplnit než v případě některého z právních titulů dle čl. 6 GDPR, na jejichž základě může probíhat zpracování „běžných“ osobních údajů.
Další diskusi pak vyvolala připomínka Úřadu k navržené novele zákoníku práce z konce června tohoto roku. Ačkoliv smyslem zmíněné novely (která se má týkat i zákona o zaměstnanosti) bylo transponovat evropskou směrnici o vysílání pracovníků v rámci poskytování služeb, Úřad coby jedno z připomínkových míst navrhl doplnit zákoník práce o zcela nové a se zmíněnou novelou obsahově nesouvisející ustanovení, jehož účelem je v českém právním řádu ukotvit oprávnění zaměstnavatele ve smyslu čl. 9 odst. 2 písm. b) GDPR, na jehož základě by mohlo docházet ke zpracování biometrických údajů (za účelem jedinečné identifikace – k tomuto pojmu viz níže) zaměstnanců pro účely docházkových systémů. Je otázkou, zda má doplnění navržené Úřadem v rámci legislativního procesu coby legislativní přílepek šanci na úspěch. Podstatné však je, že navrženým doplněním chystané novely zákoníku práce dal Úřad najevo, že z jeho právního pohledu nemá zpracování biometrických údajů zaměstnanců (za účelem jejich jedinečné identifikace) v rámci docházkových systémů aktuálně žádný právní základ, a proto je třeba provést novelu.
Nepřijatelné: Souhlas se zpracováním údajů pro účely docházkového systému
Jako nepřijatelnou přitom Úřad označil praxi zaměstnavatelů, kteří pro účel docházkových systémů sbírají od svých zaměstnanců souhlasy se zpracováním. Ty totiž jak Evropský sbor pro ochranu osobních údajů, tak Úřad považuje a priori v důsledku závislého vztahu zaměstnance vůči zaměstnavateli za nesvobodné, čímž nemá být aplikován právní titul výslovného souhlasu ve smyslu čl. 9 odst. 2 písm. a) GDPR.
V řadách odborné veřejnosti se objevil i názor, že jako právní titul zpracování se nabízí i určení, výkon nebo obhajoba právních nároků či výkon soudní pravomoci ze strany soudu (viz čl. 9 odst. 2 písm. f) GDPR). Tento právní titul však přepokládá vznik právního sporu (zde např. spor o přítomnosti zaměstnance na pracovišti), tedy je ve své podstatě sekundárním právním titulem, který se uplatní až za určité situace. Před samotným vznikem právního sporu musí být zpracování založeno na jiném právním titulu. Ostatně kdyby Úřad posledně zmíněný právní titul uznával, výše zmíněnou novelu by neměl potřebu navrhovat a vystačil by si pouze s konstatováním, že praxe sbírání souhlasů je nesprávná. S ohledem na výše uvedené Úřad navrhl právě novelu zákoníku práce, která má z jeho pohledu vyřešit „legislativní mezeru“ v českém právním řádu, aby bylo možné zpracování biometrických údajů zaměstnanců (pro účely docházkových systémů) založit na již prvně uvedeném čl. 9 odst. 2 písm. b) GDPR (zjednodušeně jde o právní titul plnění povinností a výkon zvláštních práv správce v oblasti pracovního práva).
Mimo diskuse o vhodném právním titulu je otevřenou otázkou (která však kupodivu v zahraničí zůstává bez většího povšimnutí) i účel textace čl. 9 odst. 1 GDPR, neboť to do výčtu zvláštní kategorie osobních údajů řadí pouze ty biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. Někteří akademici a odborná veřejnost této formulaci přikládají veliký význam a vykládají jej z čistě jazykového hlediska. Objevuje se tedy názor, že pokud jsou biometrické údaje zpracovávány za účelem „pouhé“ autentizace, není třeba se čl. 9 vůbec zabývat a s biometrickými údaji lze nakládat jako s jakýmikoliv běžnými údaji a zpracování tak lze založit na některém z právních titulů čl. 6 GDPR, jelikož čl. 9 odst. 1 hovoří pouze o identifikaci a nikoliv autentizaci.
Takový přístup však spíše opomíjí zamýšlený účel ochrany biometrických údajů jako takových a je příznivý zejména z byznysového hlediska, nikoliv však z hlediska samotné ochrany těchto údajů. V případě úniku takových údajů totiž budou následky stejně negativní, a to ať již dochází k autentizaci (tj. ověření totožnosti fyzické osoby porovnáním údajů 1:1) nebo identifikaci (tj. přímé rozpoznání jednotlivce porovnáváním údajů 1:n).
Ohledně problematiky zpracování biometrických údajů tak existuje řada otevřených otázek a výše uvedený text je pouze stručným nastíněním aktuálně vedené odborné debaty. Lze očekávat, že s technologickým pokrokem se bude problematika biometrie a zpracování těchto dat řešit stále častěji. Nezbývá proto než doufat, že aktuálně nepřehledná situace a nekonzistentní výklad bude Úřadem (či jinou autoritou) brzy objasněn a Úřad tak dostojí svému příslibu zveřejnění zcela nového stanoviska, v němž se k aktuálně vedené diskusi jednoznačně vyjádří.
Článek je součástí zpravodaje dReport – září 2019, Právní novinky.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
