Právo 

Nejasnosti ohledně zpracování biometrických údajů trvají, názory odborníků na jejich zpracování se různí

V posledních měsících vzbudil Úřad pro ochranu osobních údajů („Úřad“) pozornost jak odborné, tak laické veřejnosti svými rozhodnutími či vyjádřeními ohledně zpracování biometrických údajů, konkrétně ve vztahu k dynamickému biometrickému podpisu a docházkovým systémům. Jelikož se jedná o problematiku, ohledně níž existuje s ohledem na novou právní úpravu ochrany osobních údajů řada otevřených otázek, liší se i názory a přístupy odborníků k tomu, za jakých podmínek lze jejich zpracování provádět. Co odborná diskuse aktuálně řeší?

K problematice zpracování biometrických údajů se Úřad vyjádřil jednak ve stanovisku č. 2/2014 (které pojednává o dynamickém biometrickém podpisu z pohledu původního zákona o ochraně osobních údajů) a stanovisku č. 1/2017 (které pojednává o biometrické identifikaci a autentizaci zaměstnanců a je současně aktualizací dříve vydaného stanoviska č. 3/2009 na toto téma). K textu tohoto stanoviska přitom Úřad na jaře loňského roku vydal prohlášení, že s nadcházející účinností Obecného nařízení o ochraně osobních údajů („GDPR“) bude třeba změnit i právní pohled na technologie zpracovávající osobní údaje.

Čtvrt milionová pokuta za porušení zásady minimalizace při uzavírání úvěrových smluv

Takřka rok po aktualizaci výše uvedeného stanoviska Úřad vydal poměrně kontroverzní rozhodnutí, jímž uložil pokutu 250000 Kč odštěpnému závodu zahraniční banky, a to za porušení zásady minimalizace při uzavírání úvěrových smluv se svými klienty za využití tzv. dynamického biometrického podpisu, což Úřad vyhodnotil za sběr tzv. citlivých údajů. Úřad v daném případě došel k závěru, že snímání biometrie podpisu je i přes souhlas udělený klientem nadbytečné a pro účely deklarované bankou postačí toliko prostý záznam obrazu podpisu klienta.

Zpracování citlivých údajů, v terminologii GDPR nazývaných „zvláštní kategorie údajů“, je GDPR obecně zakázáno, ledaže lze aplikovat specifické výjimky z tohoto pravidla, které lze chápat jako specifické právní tituly, jejichž podmínky aplikace je obecně obtížnější naplnit než v případě některého z právních titulů dle čl. 6 GDPR, na jejichž základě může probíhat zpracování „běžných“ osobních údajů.

Téma k diskusi č. 2: Připomínka Úřadu k navržené novele zákoníku práce z června

Další diskusi pak vyvolala připomínka Úřadu k navržené novele zákoníku práce z konce června tohoto roku. Ačkoliv smyslem zmíněné novely (která se má týkat i zákona o zaměstnanosti) bylo transponovat evropskou směrnici o vysílání pracovníků v rámci poskytování služeb, Úřad coby jedno z připomínkových míst navrhl doplnit zákoník práce o zcela nové a se zmíněnou novelou obsahově nesouvisející ustanovení, jehož účelem je v českém právním řádu ukotvit oprávnění zaměstnavatele ve smyslu čl. 9 odst. 2 písm. b) GDPR, na jehož základě by mohlo docházet ke zpracování biometrických údajů (za účelem jedinečné identifikace – k tomuto pojmu viz níže) zaměstnanců pro účely docházkových systémů. Je otázkou, zda má doplnění navržené Úřadem v rámci legislativního procesu coby legislativní přílepek šanci na úspěch. Podstatné však je, že navrženým doplněním chystané novely zákoníku práce dal Úřad najevo, že z jeho právního pohledu nemá zpracování biometrických údajů zaměstnanců (za účelem jejich jedinečné identifikace) v rámci docházkových systémů aktuálně žádný právní základ, a proto je třeba provést novelu.

Nepřijatelné: Souhlas se zpracováním údajů pro účely docházkového systému

Jako nepřijatelnou přitom Úřad označil praxi zaměstnavatelů, kteří pro účel docházkových systémů sbírají od svých zaměstnanců souhlasy se zpracováním. Ty totiž jak Evropský sbor pro ochranu osobních údajů, tak Úřad považuje a priori v důsledku závislého vztahu zaměstnance vůči zaměstnavateli za nesvobodné, čímž nemá být aplikován právní titul výslovného souhlasu ve smyslu čl. 9 odst. 2 písm. a) GDPR.

V řadách odborné veřejnosti se objevil i názor, že jako právní titul zpracování se nabízí i určení, výkon nebo obhajoba právních nároků či výkon soudní pravomoci ze strany soudu (viz čl. 9 odst. 2 písm. f) GDPR). Tento právní titul však přepokládá vznik právního sporu (zde např. spor o přítomnosti zaměstnance na pracovišti), tedy je ve své podstatě sekundárním právním titulem, který se uplatní až za určité situace. Před samotným vznikem právního sporu musí být zpracování založeno na jiném právním titulu. Ostatně kdyby Úřad posledně zmíněný právní titul uznával, výše zmíněnou novelu by neměl potřebu navrhovat a vystačil by si pouze s konstatováním, že praxe sbírání souhlasů je nesprávná. S ohledem na výše uvedené Úřad navrhl právě novelu zákoníku práce, která má z jeho pohledu vyřešit „legislativní mezeru“ v českém právním řádu, aby bylo možné zpracování biometrických údajů zaměstnanců (pro účely docházkových systémů) založit na již prvně uvedeném čl. 9 odst. 2 písm. b) GDPR (zjednodušeně jde o právní titul plnění povinností a výkon zvláštních práv správce v oblasti pracovního práva).

Akademici vs. odborná veřejnost: lze s biometrickými údaji nakládat jako s jakýmikoliv běžnými údaji?

Mimo diskuse o vhodném právním titulu je otevřenou otázkou (která však kupodivu v zahraničí zůstává bez většího povšimnutí) i účel textace čl. 9 odst. 1 GDPR, neboť to do výčtu zvláštní kategorie osobních údajů řadí pouze ty biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. Někteří akademici a odborná veřejnost této formulaci přikládají veliký význam a vykládají jej z čistě jazykového hlediska. Objevuje se tedy názor, že pokud jsou biometrické údaje zpracovávány za účelem „pouhé“ autentizace, není třeba se čl. 9 vůbec zabývat a s biometrickými údaji lze nakládat jako s jakýmikoliv běžnými údaji a zpracování tak lze založit na některém z právních titulů čl. 6 GDPR, jelikož čl. 9 odst. 1 hovoří pouze o identifikaci a nikoliv autentizaci.

Takový přístup však spíše opomíjí zamýšlený účel ochrany biometrických údajů jako takových a je příznivý zejména z byznysového hlediska, nikoliv však z hlediska samotné ochrany těchto údajů. V případě úniku takových údajů totiž budou následky stejně negativní, a to ať již dochází k autentizaci (tj. ověření totožnosti fyzické osoby porovnáním údajů 1:1) nebo identifikaci (tj. přímé rozpoznání jednotlivce porovnáváním údajů 1:n).

Ohledně problematiky zpracování biometrických údajů tak existuje řada otevřených otázek a výše uvedený text je pouze stručným nastíněním aktuálně vedené odborné debaty. Lze očekávat, že s technologickým pokrokem se bude problematika biometrie a zpracování těchto dat řešit stále častěji. Nezbývá proto než doufat, že aktuálně nepřehledná situace a nekonzistentní výklad bude Úřadem (či jinou autoritou) brzy objasněn a Úřad tak dostojí svému příslibu zveřejnění zcela nového stanoviska, v němž se k aktuálně vedené diskusi jednoznačně vyjádří.

Zpracování biometrických údajů Autentizace Biometrické údaje Biometrický podpis GDPR Ochrana osobních údajů
Poradenství  Daně  Právo 

Duševní vlastnictví: Jak financovat a právně chránit vývojové IT projekty?

Jak správně financovat a právně ochránit úspěšné IT projekty je otázka, kterou si pokládá pravděpodobně každý podnikatel, jehož firma se věnuje informačním technologiím. Najít vhodné řešení není však ani zdaleka snadné a rozsáhlá, komplikovaná a měnící se legislativa situaci také neulehčuje. Jak efektivně využít všech dotačních a daňových nástrojů a jak správně ochránit své know-how radili naši odborníci na poradenství a právo v rámci odborného semináře. 

17. 9. 2019
Poradenství  Právo 

Alpinismus má se soutěžní regulací více paralel, než si možná dovedete představit. Jak se stát leopardem na trhu?

Každý korporát má svůj příběh. Ten náš teď žije advokátkou Katkou Mandulovou, která když zrovna firmy neprovádí riziky soutěžněprávní regulace, tak leze po horách. Aktuálně se v nadmořské výšce 6000 metrů připravuje na svůj životní výstup na horu Pik Pobědy (7439 m), aby na konci srpna mohla zakončit svůj triumf a stala se první českou Sněžnou leopardkou. Rozumějte ženou, která zdolala 5 náročných vrcholků rozprostírajících se na území bývalého Sovětského svazu. A zatímco my se oddáváme letním dnům, Katku čeká přenocování v ledu s venkovními teplotami -35 stupňů. V mezičase si můžeme připomenout, jak propojuje právo se svým koníčkem. 

9. 8. 2019
Technologie  Právo 

TechLaw zpravodaj: Telekomunikace a média [červenec 2019]

Další rozhodnutí Soudního dvora EU, kterým se vytyčují pojmové znaky služby elektronických komunikací. ČTÚ finišuje s přípravou podmínek aukce rádiových kmitočtů pro sítě 5G. Ve Sněmovně se objevila nenápadná novela zákona o elektronických komunikacích, která má umožnit využití nové technologie při lokalizaci osob v ohrožení života. To jsou červencové novinky z oblasti telekomunikace a médií. 

31. 7. 2019