V březnu 2019 rozvířilo vody dodavatelů i uživatelů technologie tzv. dynamického biometrického podpisu (dále jen „DBP“) svérázné rozhodnutí Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“),[1] které nám neznámému subjektu (dále jen „účastník řízení“) uložilo pokutu ve výši 250 000 Kč primárně za to, že údajně porušil zásadu zpracování osobních údajů stanovenou v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 (GDPR), tedy zásadu, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“).[2] Protože uvedené rozhodnutí kromě postihu za používání DBP vyslovilo i řadu poměrně překvapivých myšlenek, přičemž vzhledem k pasivitě účastníka neprošlo dalším řízením ani v rámci rozkladu, natož soudním přezkumem, považujeme za nutné se jím poněkud podrobněji zabývat.

 

Musíme vycházet výlučně z toho, co je uvedeno v rozhodnutí, jakkoli o některých zjištěních či tvrzeních by se možná dalo pochybovat, případně jsou v rámci snahy o extrémní anonymizaci z nám dostupného znění vypuštěny.

Z toho, co je uvedeno v rozhodnutí, lze z věcného hlediska konstatovat následující:[3]

1. Účastník řízení je bankou (resp. odštěpný závod účastníka řízení je pobočkou zahraniční banky), kde klienti mohou zažádat o úvěr osobně na pobočce, příp. při nákupu zboží na splátky u obchodního partnera účastníka řízení, nebo online prostřednictvím webového portálu účastníka řízení či u obchodního partnera. V případě sjednání úvěru online vyplňuje klient údaje samostatně do aplikace, ze které jsou přeneseny do aplikace. V případě sjednání úvěru na pobočce účastníka řízení jsou osobní údaje klientů zadávány přímo do aplikace.
2. V rámci žádosti o úvěr je od klienta vyžadováno vyplnění a podpis rámcové smlouvy, přičemž od klienta je v souvislosti s uzavíráním smlouvy vyžadováno poskytnutí údajů v rozsahu: identifikační údaje – jméno, příjmení, datum a místo narození, rodné číslo, pohlaví; kontaktní údaje – adresa trvalého bydliště, korespondenční adresa, způsob by­dlení, telefonní číslo, e-mailová adresa, kontakt do zaměstnání; údaje o dokladu totožnosti – druh, číslo, datum a místo vydání, platnost; ostatní údaje – rodinný stav, počet a věk vyživovaných dětí, zaměstnání, údaje o zaměstnavateli, základní mzda, čistá mzda, výdaje, typ bydlení, informace o bankovním účtu, informace o dalších příjmech klienta. Účastník řízení v souvislosti s uzavřením smlouvy pořizuje kopii občanského průkazu klienta, kterou následně uchovává. V případě sjednání úvěru prostřednictvím webového portálu shromažďuje a dále uchovává též kopii druhého dokladu totožnosti.
3. Při podpisu smluvní dokumentace v elektronické podobě prostřednictvím zařízení [neuvedeno] od společnosti [neuvedeno] při vytvoření elektronického podpisu zaznamenávajícího kromě grafické podoby podpisu klienta dochází též k zaznamenání biometrických prvků, jako je např. rychlost a tlak pohybu pera. Ze souhlasu se zpracováním osobních údajů předloženého účastníkem řízení vyplývá, že biometrický podpis je zpracováván za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu, kdy v případě nutnosti odborník v porovnání s jiným podpisem určí, zda podpis učinila táž osoba, či nikoli. Podpis je uchováván (…).
4. Souhlas se zpracováním biometrického podpisu se uděluje na jeden rok, a je-li s klientem uzavřena smlouva, je udělen tento souhlas na dobu jejího trvání a na dobu dalších 10 let po splnění veškerých závazků vůči účastníkovi řízení.
5. Dle vyjádření účastníka řízení ze dne 25. 7. 2018 je účelem využívání DBP klienta při podepisování demateriali­zované smluvní dokumentace vytvoření věrohodné grafické podoby podpisu na smlouvách. Technologie [neuvedeno] je využívána z toho důvodu, že jiný typ technologie zaznamenání podpisů, např. podpis na běžném tabletu, neumožňuje zaznamenat tak vysoce důvěryhodný podpis klientů.
6. Ze shromážděné dokumentace tak vyplývá, že po podpisu dochází k šifrování dat v [neuvedeno] a k jejich následnému připojení k pdf dokumentu.
7. Součástí spisového materiálu má též být znalecký posudek předložený účastníkem řízení, jehož závěrem je, že při zpracování biometrického podpisu nedochází k porušování právních předpisů.
8. V případě, že klient odmítne během uzavírání smluvní dokumentace zpracování osobních údajů za účelem vytvoření biometrického podpisu, je elektronická smlouva stornována a následně je uzavřena smluvní dokumentace v listinné formě.
9. Ze spisové dokumentace vyplývá, že údaje o klientech jsou uchovávány v elektronické i listinné podobě. Účastník řízení má, v souladu s úpravou obsaženou ve speciálních právních předpisech, stanoveny zákonné lhůty pro uchování informací o klientech, a to zejména dle § 16 zák. č. 253/2008 Sb., podle kterého je povinen uchovat identifikační údaje klienta (včetně případných kopií dokladů předložených k identifikaci) po dobu 10 let od ukončení obchodního vztahu. Dle § 21 odst. 2 zák. č. 21/1992 Sb. je povinen uchovávat doklady o uskutečněných obchodech rovněž po dobu nejméně 10 let. Po uplynutí lhůty k uchovávání údajů dochází v případě elektronicky uchovávaných dokumentů k jejich anonymizaci bez možnosti obnovy, v případě listinných dokumentů k jejich skartaci.
10. Z vyjádření účastníka řízení, doručeného ÚOOÚ dne 22. 10. 2018 v návaznosti na výzvu před zahájením správního řízení o uložení opatření k nápravě, vyplývá, že účastník řízení jak ve vztahu ke zpracování biometrických dat při podpisu, tak ve vztahu k uchovávání zvukových záznamů telefonních hovorů s klienty, bude realizovat opatření k odstranění nedostatků.
11. V rámci vyjádření účastníka řízení, kterým doplnil podaný odpor (proti příkazu vydanému ÚOOÚ), se účastník řízení k problematice biometrických podpisů vyjádřil tak, že zpracování této kategorie osobních údajů nemělo dopad na práva subjektů údajů, neboť bylo prováděno s jejich předchozím souhlasem. Dle účastníka řízení je otázka nutnosti či nadbytečnosti daného zpracování též sporná, neboť v případě zrušení zpracování biometrických údajů účastník řízení nebude schopen prokázat pravost podpisu klientů na smlouvách, nicméně i přes to (s vědomím případných právních rizik neplatnosti smluv) účastník řízení názor ÚOOÚ přijal a ukončení tohoto zpracování implementoval a do budoucna ponese obchodní riziko toho, že pokud někdo zpochybní svůj podpis na smlouvě uzavřené prostřednictvím tzv. [neuvedeno], nebude účastník řízení schopen prokázat pravost podpisu a smlouva bude neplatná. Účastník je proto toho názoru, že při rozhodování o udělení finanční sankce a případně její výši by správní orgán měl vzít uvedené okolnosti v potaz.
12. Dále účastník řízení sdělil, že neprodleně po obdržení protokolu o kontrole ze dne 14. 9. 2018 zahájil veškeré kroky, aby všechna shledaná porušení byla odstraněna v nejbližším možném termínu.
13. V nám dostupném rozhodnutí mj. ÚOOÚ uvedl, že: a) Dle čl. 4 bodu 1 nařízení (EU) 2016/679 se osobním údajem rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Informace, které zpracovává účastník řízení o svých klientech, kterým je poskytnut úvěr, včetně zvukových záznamů telefonických hovorů s klienty a biometrických podpisů, jsou osobními údaji ve smyslu čl. 4 bod 1 nařízení (EU) 2016/679, neboť se jedná o informace o identifikovaných osobách. b) Dle čl. 4 bodu 14 nařízení (EU) 2016/679 se biometrickými údaji rozumí osobní údaje vyplývající z konkrétního technického zpracování, týkající se fyzických či fyziologických znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci. Podpis smlouvy, která je uzavírána v elektronické formě, kdy prostřednictvím elektronického zařízení dochází k zachycení a následnému uchovávání jednotlivých znaků podpisu, např. rychlosti a tlaku pohybu pera, je biometrických údajem ve smyslu čl. 4 odst. 14 nařízení (EU) 2016/679. c) Účastník řízení na základě povinností vyplývajících mu z právních předpisů, jakož i z jeho vnitřních předpisů, osobní údaje klientů shromažďuje, ukládá na nosiče informací, dále používá, předává a likviduje, tedy naplňuje definici zpracování osobních údajů dle nařízení (EU) 2016/679, a to i ve vztahu k biometrickým podpisům a záznamům telefonických hovorů, neboť dochází nejméně k jejich shromaž­ďování a ukládání, popř. výmazu, to vše za účelem jejich možného pozdějšího použití. d) Podle zásady zpracování osobních údajů uvedené v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“). e) S ohledem na výše uvedenou zásadu je nezbytné nejprve definovat účel, pro který jsou osobní údaje účastníkem řízení zpracovávány. Účel zpracování osobních údajů klientů účastník řízení vymezuje zejména v dokumentech nazvaných Souhlas se zpracováním osobních údajů a Informace o zpracování osobních údajů a o ochraně bankovního tajemství, dále ve všeobecných obchodních podmínkách a ve svých vnitřních předpisech. Primárním účelem, pro který účastník řízení osobní údaje klientů, jimž poskytuje úvěr, zpracovává, je uzavření smlouvy o finanční službě a její spravování. Z tohoto primárního účelu (tj. uzavření smlouvy o finanční službě) vyplývají též další související účely zpracování, např. řádná identifikace a ověření totožnosti klienta, posouzení jeho úvěruschopnosti, plnění povinností v oblasti účetnictví, předcházení legalizace výnosů z trestné činnosti apod. f) V rámci tohoto účelu zpracování je pak určitý rozsah osobních údajů účastníkovi řízení stanoven přímo zvláštními právními předpisy (zákon č. 253/2008 Sb., zákon č. 257/2016 Sb. atd.), tj. zpracování konkrétních osobních údajů je zákonnou povinností účastníka řízení jakožto banky. Osobní údaje, které účastník řízení zpracovává v tomto režimu, jsou identifikační údaje v rozsahu jméno, příjmení, rodné číslo, datum a místo narození, místo trvalého pobytu, státní občanství, druh, číslo a platnost průkazu totožnosti a orgán, který jej vydal, včetně dalších osobních údajů uvedených na kopii dokladu totožnosti (při uzavírání smluvní dokumentace online dokonce kopie dvou dokladů totožnosti), a údaje nezbytné k posouzení úvěruschopnosti klienta (rodinný stav, počet a věk vyživovaných dětí, údaje o zaměstnavateli, výše příjmů a výdajů aj.). g) Nad rámec těchto osobních údajů účastník řízení dále zpracovává v případě uzavření smlouvy v elektronické formě též biometrické podpisy klientů, kteří s tímto zpracováním vyslovili svůj souhlas. Jak vyplývá zejména z předloženého dokumentu nazvaného Souhlas se zpracováním osobních údajů, má být biometrický podpis zpracováván za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu. h) Jsou-li biometrické údaje zpracovávány za účelem jedinečné identifikace fyzické osoby, jako je tomu zcela zjevně v případě účastníka řízení, jedná se o zpracování zvláštní kategorie osobních údajů dle čl. 9 odst. 1 nařízení (EU) 2016/679. Zpracování zvláštní kategorie osobních údajů je, s ohledem na jejich zvláštní charakter a hrubý zásah do soukromého a osobního života subjektu údajů v případě jejich zneužití, obecně zakázáno. Výjimku z obecného zákazu zpracování zvláštní kategorie osobních údajů pak představuje splnění alespoň jednoho z taxativně vypočtených právních důvodů obsažených v čl. 9 odst. 2 písm. a) až j) nařízení (EU) 2016/679. Zároveň je vždy nezbytné mít pro zpracování osobních údajů také obecný právní titul pro zpracování dle čl. 6 odst. 1 nařízení (EU) 2016/679. Právním titulem pro zpracování osobních údajů klientů při poskytování úvěru je primárně plnění smlouvy, jejíž smluvní stranou je subjekt údajů dle čl. 6 odst. 1 písm. b) nařízení (EU) 2016/679. Ve vztahu ke zpracování biometrického podpisu, jakožto zvláštní kategorie osobních údajů, se pak uplatní právní důvod dle čl. 9 odst. 2 písm. a) ve spojení s čl. 6 odst. 1 písm. b) nařízení (EU) 2016/679, neboť klienti dali výslovný souhlas se zpracováním této zvláštní kategorie osobních údajů pro účely uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu. i) K rozsahu osobních údajů nezbytných pro identifikovatelnost subjektu údajů pro účely smluvního vztahu, jakož i pro plnění dalších povinností vyplývajících z něj pro účastníka řízení, je dle správního orgánu zcela dostačující rozsah osobních údajů, které musí účastník řízení shromažďovat v souvislosti s plněním zákonných požadavků dle zvláštní právní úpravy. Správní orgán neshledal, že by biometrický podpis klienta byl pro účely uzavření a uchování smluvní dokumentace či zjednodušení tohoto procesu nezbytný, neboť v případě uzavírání smluv v listinné podobě není také vyžadován. Správní orgán považuje za dostatečné pro výše uvedené účely zpracovávat účastníkem řízení pouze prostý obraz podpisu klienta na dematerializované smluvní dokumentaci, který je srovnatelný s podpisem na smluvní dokumentaci v listinné formě. Tento závěr správního orgánu ohledně nadbytečnosti zpracování biometrického podpisu pak potvrzuje i skutečnost, že účastník řízení v praxi shromažďuje a uchovává biometrické parametry podpisu, avšak de facto využívá pouze prostý elektronický obraz podpisu klienta a biometrické parametry podpisu není schopen bez technologií dodavatele vytěžit. Správní orgán zdůrazňuje, že skutečnost, že si účastník řízení jako správce osobních údajů nebyl ani vědom toho, že dochází ke zpracování biometrického podpisu i po bezprostředním vytvoření elektronického obrazu podpisu, sama o sobě dostačuje ke konstatování nadbytečnosti takto zpracovávaných údajů. j) K předloženému znaleckému posudku správní orgán konstatuje, že samotný znalecký posudek nemůže nezávislému orgánu, jakým je ÚOOÚ, předkládat závazné právní hodnocení vztahující se k posouzení konkrétních skutkových ani právních otázek. k) K argumentaci účastníka řízení ohledně zpracování biometrického podpisu klienta, uvedené v doplnění odporu, doručeného správnímu orgánu dne 20. 2. 2019, tedy že toto zpracování nemělo dopad na práva subjektů údajů, neboť bylo prováděno s jejich souhlasem, správní orgán uvádí, že ani souhlas subjektu údajů se zpracováním konkrétních osobních údajů nezbavuje účastníka řízení povinnosti dodržovat všechny základní zásady zpracování osobních údajů, neboť soulad sledovaného účelu a k němu se vztahujícího minimálního rozsahu osobních údajů je nutné hodnotit objektivně, nikoli subjektivně (tj. jako možný předmět dohody uzavřené mezi účastníkem řízení a subjektem údajů). Dále je též nezbytné poukázat na skutečnost, že byla tímto zpracováním dotčena zvláštní kategorie osobních údajů. Zpracování těchto osobních údajů může již z jejich samotné povahy vážně ohrozit základní právo subjektu údajů na soukromí. l) Účastník řízení ve svém doplnění odporu ze dne 20. 2. 2019 dále namítal ohledně zpracování biometrického podpisu klienta, že nadbytečnost zpracování tohoto osobního údaje je též sporná, neboť v případě zrušení zpracování bio­metrických údajů nebude účastník řízení schopen prokázat pravost podpisů klientů na smlouvách v případě jeho zpochybnění, což může vést ve svém důsledku k neplatnosti smlouvy. Správní orgán odkazuje na již výše uvedené ohledně rozsahu osobních údajů nezbytných pro identifikaci subjektu údajů pro účely smluvního vztahu, (…). Správní orgán tedy shrnuje, že zpracování podpisu klientů u smluv uzavíraných v elektronické podobě v jeho biometrické podobě není nezbytné pro vytyčené účely, a to jak z hlediska objektivního, tak i subjektivního z pohledu správce, neboť takový účel nebyl nijak proklamován, ani není v technických možnostech účastníka řízení jeho naplnění, a proto se tato nová argumentace jeví správnímu orgánu jako ryze účelová. m) Z výše uvedeného je zřejmé, že účastník řízení nedodržel základní zásadu minimalizace údajů stanovenou v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679, když shromažďoval a následně uchovával biometrické podpisy svých klientů. n) Při stanovení sankce tak správní orgán přihlédl, jako k okolnosti zvyšující závažnost jednání, zejména k vysokému počtu dotčených subjektů údajů (ke dni 23. 7. 2018 se jednalo o [text vynechán]). Jako další přitěžující okolnost pak správní orgán vyhodnotil skutečnost, že došlo protiprávně ke zpracování biometrického podpisu jakožto zvláštní kategorie osobních údajů, jehož případné zneužití by znamenalo značný zásah do soukromého a osobního života subjektů údajů. Za skutečnost snižující závažnost protiprávního jednání účastníka řízení pak správní orgán považuje to, že sice docházelo ke shromažďování a ukládání biometrických údajů klientů, avšak nikoli k dalšímu nakládání s nimi, které by zvyšovalo riziko jejich možného zne­užití. Dále správní orgán přihlédl, jako k okolnosti snižující závažnost jednání, ke skutečnosti, že účastník řízení disponoval souhlasem subjektů údajů pro zpracování jejich biometrických podpisů.

Zamýšlené či nezamýšlené důsledky 

Na autory se obrátila řada doslova a do písmene vyděšených právnických osob, které implementovaly DBP a zcela běžně jej používají ve své praxi, zejména finančních institucí, telekomunikačních operátorů apod., jakož i asociací, v nichž se tyto osoby sdružují. Stejně zneklidněně se vyjadřují dovozci zařízení a dodavatelé řešení (implementátoři) biometrického podpisu. Není se jim co divit, neboť po přečtení rozhodnutí by se z něj dalo dovodit, že:

1. používání DBP je v rozporu s GDPR,
2. ÚOOÚ požaduje, aby ve smluvní praxi byly v elektronických dokumentech výlučně používány prosté obrazy podpisu klienta,
3. ačkoli klient (smluvní strana) vědomě, vážně, určitě, srozumitelně a dobrovolně poskytne souhlas k určitému zpracování osobních údajů, přesto může ÚOOÚ bez ohledu na tento souhlas označit konkrétní zpracování osobních údajů za nadbytečné, tedy protiprávní, a sankcionovat je.

V dalším textu se proto autoři zabývají těmito aspekty daného rozhodnutí:

1. Zda opravdu při používání DBP tak, jak je implementován v případech známých autorům, dochází k jedinečné identifikaci fyzických osob, jež je podle čl. 9 odst. 1 GDPR zakázána?
2. Pokud subjekt údajů projeví svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým výslovně prohlášením či jiným zjevným potvrzením dává své svolení ke zpracování svých osobních údajů – v daném případě DBP, je nějaký důvod, aby se neuplatnil v takovém případě čl. 9 odst. 2 písm. a), podle kterého se odst. 1 nepoužije, pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů?
3. Zda vzhledem k účelu, ke kterému má používání DBP sloužit, je namístě striktně vyžadovat jeho náhradu prostým obrázkem podpisu.

Jsme si vědomi, že jde o jedno rozhodnutí v konkrétní věci, nicméně, pokud by toto rozhodnutí mělo představovat vzor či vzorek další rozhodovací praxe ÚOOÚ či přímo nějaký „precedent“, pak je taková analýza zcela namístě.

Co to je DBP? 

Dynamický biometrický podpis patří mezi metody, jež mohou být použitelné pro identifikaci a autentizaci osob, resp. vyjádření jejich vůle, přičemž vyhodnocují chování člověka, resp. jeho projev určitým způsobem – mimikou, chůzí, psaním, gestikulací, hlasem, a jsou exteriorizací interiorizovaných struktur člověka. V případě pohybů těla nebo jeho částí, ale i u psaní jde o motorickou činnost jako cílevědomý a systematický proces řízený centrální nervovou soustavou, uskutečňovaný v interakci mezi člověkem a okolím za pomoci pohybové soustavy.

Dynamické biometrické metody používané pro identifikaci nebo verifikaci spočívají ve využití behaviorálních charakteristik, které jsou unikátní pro každého člověka, jako jsou pohyb rtů, hlasový projev, dynamika stisku počítačových kláves nebo pohybu myší, gesta prováděná v prostoru, rytmus chůze nebo vlastnoruční podpis. Při posledním způsobu autentizace se de facto jedná o to, co každý považuje za běžnou činnost po staletí spjatou s člověkem, nicméně v nové kvalitě. Od podpisového vzoru v podobě neobratného a často mylného srovnávání obrázku podpisového vzoru s konkrétním podpisem (pozorováním obou obrázků ověřující osobou), poskytujícího minimální záruky, přes relativně bezpečné, ale komplikované postupy asymetrické kryptografie, jsme se opět vrátili k podpisovým vzorům, ale vzorům „chytrým“, skrývajícím oku neviditelnou a nezfalšovatelnou biometrickou vrstvu. V případě DBP i dalších behaviorálních biometrik se dostáváme do situace, kdy uživatel „neví, co ví“, resp. ani jemu není známa biometrická informace po­užitelná pro autentizaci podpisu.[4]

DBP vzniká tak, že je snímán vlastnoruční podpis s vy­užitím speciálního digitalizačního snímače (padu), zaznamenávajícího data, která umožní analyzovat jak statické, tak zejména dynamické vlastnosti podpisu spojeného s typickým chováním podepisující se osoby.

U snímaných charakteristik jde o základní rysy vlastnoručního podpisu, jako jsou:

• čas trvání podpisu, včetně trvání mezi jednotlivými tahy,
• body a křivky v jednotlivých částech podpisu,
• tlak působící perem na podložku v různých dobách procesu podpisu,
• celková velikost podpisu,
• forma a tvar podpisu,
• délka a úhel čáry, oblouky a křivky, počet smyček,
• rychlost při jednotlivých tazích, zrychlení, zpomalení.

DBP tedy sestává ze dvou složek – výsledného obrázku, který může být v elektronické podobě realizován rastrovou nebo vektorovou grafikou,[5] a neviditelné řady údajů, která obsahuje informace o tom, jak byl podpis vytvořen, odráží tedy charakteristické znaky podepisující se osoby, její návyky a projevy chování. Tato řada údajů má obvykle tvar vektoru [x, y, z, t], kde trojice (x, y, z) představuje souřadnice určující místo bodu podpisu v čase t.[6] Aby mohlo dojít k převodu analogové (spojité) trajektorie podpisu do digitální podoby, je trajektorie podpisu vzorkována rychlostí obvykle v intervalu 100 až 500 ms, nejčastěji se používá rychlost 250 ms, tj. čtyři vzorky za sekundu.

Tyto údaje představují biometrickou stopu, která je unikátní pro každého jednotlivce a v praxi nemůže být padělatelem reprodukována (na rozdíl od samotného obrázku podpisu, který zde tvoří pouze jeden z parametrů biometrické stopy).[7]

Zabezpečení DBP 

Jak obrázek podpisu, tak s ním spojená biometrická data je třeba

1. neoddělitelně spojit s obsahem podepisovaného dokumentu,
2. zabránit jeho extrakci z dokumentu, a tedy možnému zneužití (připojením k jinému dokumentu).

Při správné implementaci systému používajícího DBP to není nic obtížného a autorům je známa řada implementací, které zaručují uvedené požadavky.

Zabezpečení DBP je obvykle řešeno takto: vektor dat, reprezentujících DBP (viz výše), opustí snímací zařízení (tablet, speciální pad) pouze v zašifrovaném tvaru, tj. některou z kryptografických metod. Na tento zabezpečený přenos bio­metrických dat ze snímače do počítače bezprostředně navazuje požadavek na jednoznačné a neprolomitelné spojení DBP s podepisovaným dokumentem (typicky šifrovaný přenos dat mezi PC a podložkou s použitím algoritmu AES 256 a výměnou šifrovacích klíčů použitím asymetrické kryptografie, např. RSA).[8] Pro tyto účely je opět možné použít kryptografickou metodu, a to jak pro vytvoření hashe dokumentu,[9] tak pro ochranu integrity podepsaného hashe standardním (kryptografickým) elektronickým podpisem nebo elektronickou pečetí. Podstatným rozdílem nicméně je, že použití asymetrické kryptografie (tedy vytvoření podpisu či pečeti pomocí soukromého klíče) není požadováno na straně klienta (uživatele), ale je otázkou řešení celého systému, tj. chová se z hlediska uživatele (podepisující osoby) jako „černá skříňka“ a nezatěžuje jej žádnými technickoorganizačními požadavky.

Poskytovatelé řešení zajišťují bezpečnost DBP tak, že vytvářejí řadu hashů a provádějí podepisování a šifrování např. takto:

1. Aplikace (dále též „AP“) v počítači ustaví šifrovanou komunikaci s podepisovacím zařízením (v tomto případě algoritmem AES-256). Výměna klíče proběhne pomocí Diffie-Hellman-Merkle protokolu. Během podpisu jsou tímto zabezpečeným kanálem přenášena biometrická data do AP.
2. Uživatel se podepíše na podepisovací tablet. Data reprezentující podpis jsou šifrovaným kanálem ad 1. přenesena do paměti počítače.
3. Na základě biometrických dat AP vytvoří (viditelný) statický obrázek podpisu a vloží jej do dokumentu.
4. K biometrickým datům jsou připojeny další údaje (sériové číslo zařízení, časové razítko), což zajistí, že biometrická data nemohou být umístěna do jiného dokumentu, resp. že toto zneužití je možné zjistit.
5. V zařízení jsou zašifrována biometrická data symetricky (AES-256) a použitý symetrický klíč pak AP zašifruje pomocí veřejného klíče asymetricky (RSA-2048).[10]
6. AP vloží zašifrovaná biometrická data do dokumentu ve formátu PDF.
7. AP spočítá HASH1 (algoritmem SHA-256) z obsahu dokumentu a zašifrovaných biometrických dat. HASH1 slouží pro kontrolu integrity dokumentu a zašifrovaných bio­metrických dat. HASH1 je podepisován veřejným klíčem.
8. AP vloží podepsaný HASH1 a příslušný veřejný klíč do dokumentu.
9. AP spočítá HASH2 (algoritmem SHA-256) z HASH1 a nezašifrovaných biometrických dat a uloží jej do dokumentu. HASH2 zajišťuje propojení dokumentu a biometrického podpisu.
10. AP smaže z paměti počítače nezašifrovaná biometrická data a všechny spočítané hashe (HASH1 a HASH2).

Souhrnně lze tedy říci, že:

1. biometrická data jsou ihned po sejmutí šifrována a nikdy nejsou zobrazena (ani dostupná) v otevřeném tvaru; výjimkou je forenzní zkoumání – viz ad 3. níže,
2. jsou používána výlučně pro vytvoření podpisu, tedy nikoli pro identifikaci nebo autentizaci subjektu údajů,
3. jediná možnost, jak se dostat k původním biometrickým údajům, je mimořádná situace – dokazování v rámci soudního sporu či trestního řízení. V takovém případě je třeba získat přístup ke klíči, kterým byla biometrická data zašifrována, což absolutní většina projektů řeší úschovou klíče u třetí osoby, obvykle u certifikační autority, která klíč střeží. Značně formalizovaným postupem, obvykle popsaným v podmínkách používání DBP (např. všeobecných obchodních podmínkách) a za účasti notáře a soudního znalce je možné v takovém případě podpis extrahovat z konkrétního dokumentu a lze jej prověřit buď automaticky pomocí softwarového nástroje porovnávajícího podpisy mezi sebou, nebo předat písmoznalci.

Jak to bylo podle zák. č. 101/2000 Sb. 

Právní úprava zavedla v rámci § 4 písm. b) zák. č. 101/2000 Sb. kategorii tzv. citlivých údajů, což jsou osobní údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů, a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.[11]

Tato formulace se objevila až v posledních letech po novele zákona provedené zákonem č. 170/2007 Sb., kterým se mění některé zákony v souvislosti se vstupem České republiky do Schengenského prostoru,[12] s poněkud překvapivým odůvodněním: „S přihlédnutím k dosud platné definici citlivých údajů by byly na veškeré biometrické údaje ve všech státních evidencích a registrech, které náleží do agendy SIS, kladeny nepřiměřené požadavky (odlišné od praxe v Evropské unii). Navrhuje se proto upřesnit definici citlivého údaje stále častěji využívaného v oblasti bezpečnosti a policejní praxe, a tím i omezit příslušné povinnosti správce a zpracovatele na užší, skutečně ‚citlivou‘, množinu biometrických údajů. Důvodem pro zpřesnění definice biometrického údaje jako citlivého údaje je skutečnost, že nikoli každý biometrický údaj sám o sobě umožňuje přímo identifikovat nebo autentizovat subjekt údajů. Tyto biometrické údaje v důsledku uvedeného nemohou být citlivými údaji. Proto podle navrhované právní úpravy je citlivým údajem pouze ten biometrický údaj, který umožňuje bezprostřední identifikaci nebo autentizaci subjektu údajů bez spojení s jinými údaji, tj. svou kvalitou obvykle slouží k zajištění bezpečnosti či stanovení určité míry důvěry spojených s nositeli těchto údajů. Použití takových údajů v úředních agendách (např. v souvislosti s cestovními pasy) již v současnosti upravují některé předpisy Evropských společenství.“[13] Není zřejmé, proč právě tyto biometrické údaje mají být citlivější než některé jiné.

Z hlediska DBP nás dále bude zajímat, že podle § 9 tohoto zákona „citlivé údaje je možné zpracovávat, jen jestliže“ podle písm. a) „subjekt údajů dal ke zpracování výslovný souhlas“, nebo jestliže podle písm. h) „je zpracování nezbytné pro zajištění a uplatnění právních nároků“.

Identifikace versus autentizace 

Co to ona identifikace nebo autentizace subjektu údajů je? Identifikaci lze stručně definovat jako zjištění identity (totožnosti) subjektu, které se provádí porovnáváním osobních údajů nebo projevů osobní povahy fyzické osoby s jinými, které jsou obvykle zachyceny na nějakém nosiči, zatímco autentizaci jako ověření, že subjekt je tím, za koho se prostřednictvím této identity vydává. V praxi se identifikace na písemném dokumentu provádí nejčastěji uvedením jména, příjmení, adresy, případně jiných údajů o dotčené osobě (rodné číslo, datum narození apod.). Autentizace, tj. ověření, že dokument skutečně podepsala uvedená osoba, se provádí podpisem, podpisem před svědky, ověřením totožnosti pověřenou osobou; za nejjistější je zatím stále považována legalizace formou úředně ověřeného podpisu nebo notářského zápisu.[14]

Jak uvádí Nejvyšší správní soud: „Obecně lze fyzickou osobu považovat za ‚identifikovanou‘, jestliže je ve skupině osob odlišena ode všech ostatních příslušníků této skupiny. V souladu s tím je fyzická osoba ‚identifikovatelná‘, jestliže je možné ji identifikovat (přípona ‚-elná‘ vyjadřuje možnost), ačkoli dosud identifikována nebyla. Tato druhá alternativa proto v praxi představuje prahovou podmínku určující, zda informace vyhovuje definici osobního údaje.“[15]

Co se týče biometrik, pak aby byla osoba podle nějaké biometrické charakteristiky identifikovatelná, musí existovat seznam (databáze), v níž bude k určité biometrické charakteristice nebo souboru biometrických charakteristik přiřazen jednoznačný identifikátor konkrétní osoby. Příklad: evidence otisků prstů. U těchto statických biometrik, které (s výjimkou jednovaječných dvojčat) mohou být jednoznačně přiřazeny konkrétní osobě, to je docela jednoduché. Zcela jinak tomu je u dynamických biometrik (psaní, řeč, chůze atd.), které musejí uvádět i pravděpodobnostní údaj určující, s jakou pravděpodobností se jedná o tuto osobu (např. shoda DBP nad 90 % je považována za zcela jistou). V případě pochybnosti bude muset ověřující osoba provést další identifikaci či autentizaci subjektu údajů na základě jiného parametru dané osoby.

Jednomu z autorů je známo, že v odpovědi na konkrétní dotaz v souvislosti se zaváděním DBP se ve druhé polovině roku 2016, tedy sice ještě v režimu podle ZOOÚ, nicméně již po nabytí platnosti GDPR, ÚOOÚ vyjádřil tak, že „pokud tzv. dynamický biometrický podpis bude využíván stejně jako podpis klasický, tzn. jeho využití nebude spojeno s dalším automatickým zpracováním biometrických údajů (např. porovnávání podpisu s podpisovým vzorem za využití biometrických dat), bude se jednat o zpracování probíhající ve stejném právním režimu jako při zpracování klasického podpisu“. Na vysvětlení: bude tedy docházet k autentizaci (toho, co bylo podepsáno), nikoli identifikaci podepsané osoby. Zdálo by se, že ÚOOÚ se v tomto případě držel standardních interpretačních metod. Bohužel, v souvislosti s nabytím účinnosti GDPR je v případě DBP poněkud opustil.

Dne 8. 6. 2017 vydal ÚOOÚ informaci označenou jako Stanovisko č. 1/2017 „Změna v hodnocení úrovně právní ochrany biometrických údajů,“[16] kde se zejména uvádí: „Dne 25. května 2018 nabývá účinnosti evropský předpis, který nově nastavuje ochranu osobních údajů mj. z důvodu proměn a rychlého rozvoje technologií, tzv. obecné nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady č. 2016/679). Ve svém čl. 9 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických šablon (template) a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů.

Obecné nařízení v otázkách zpracování biometrických údajů plně nahradí dosud platné ustanovení zákona o ochraně osobních údajů, nebude tedy možno postupovat v mezích dosavadního stanoviska Úřadu pro ochranu osobních údajů. Kontroly zpracování osobních údajů prováděné v současné době jsou již vedeny s přihlédnutím k této skutečnosti a kontrolní závěry budou formulovány takovým způsobem, aby správci osobních údajů měli informace o postupu, který nebude v rozporu s obecným nařízením. V návaznosti na výsledky kontrol ÚOOÚ zveřejní aktuální stanovisko k biometrickým údajům. Biometrické technologie, přes jejich stále větší dostupnost a dosažitelnost (technickou i finanční), nejsou plnou náhradou jiných bezpečnostních řešení a samy o sobě nezajišťují větší bezpečnost. Správci pořizující si takové systémy mají nejen povinnost posoudit přiměřenost konkrétního řešení a rizika s ním spojená (např. systémů s databázemi biometrických šablon), ale také musí vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními. Správci musí předem i průběžně posuzovat účinnost biometrických systémů a také přitom zkoumat, zda existují vážné hrozby, které instalaci takových systémů odůvodňují.“

Za pozornost stojí část, kde se výslovně hovoří o šablonách a jejich použití při zpracování za účelem identifikace osob. Podle normy ČSN ISO/IEC 19795-1 se šablonou rozumí uložená referenční míra uživatele, založená na rysech extrahovaných ze zaznamenaných vzorků.[17] Čili pro jiný přístup k posuzování zpracování biometrických údajů po nabytí účinnosti GDPR je tedy třeba splnění těchto dvou podmínek:

1. existence šablony,
2. použití za účelem identifikace osob.

Pokud bude existovat seznam biometrických charakteristik osob, které mohou vstoupit do určitého objektu, aniž by ke každé charakteristice bylo přiřazeno, o koho se jedná, nejde podle názoru autorů o identifikaci, ale pouze o autentizaci. Ví se, že vstoupila oprávněná osoba, ale nikoli která.

Výše citované vyjádření proto nebylo považováno za signál ÚOOÚ ve změně přístupu k DBP, protože se zde výslovně hovořilo o identifikaci, což nemá s podepisováním nic společného. Samotný vlastnoruční podpis (bez ohledu na to, zda je či není čitelný) nemůže jednoznačně identifikovat fyzickou osobu, protože postrádá další rozlišovací (zpřesňující) údaje.

Následně pod stejným číslem a stejným datem, jakkoli to je dosti zvláštní, publikoval Úřad jiné Stanovisko č. 1/2017 „Biometrická identifikace nebo autentizace zaměstnanců“, které v úvodu opakuje předchozí upozornění a dále se zabývá přístupovými a docházkovými systémy.[18] Toto stanovisko je psáno v mantinelech platného zákona o ochraně osobních údajů, nicméně v poznámkovém aparátu se v některých případech odkazuje na úpravu podle GDPR, ovšem značně nekonkrétně.

Právní úprava podle GDPR 

Podle čl. 4 odst. 14 se biometrickými údaji rozumí osobní údaje vyplývající z konkrétního technického zpracování, týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, např. zobrazení obličeje nebo daktyloskopické údaje. Sejmutý DBP na příslušném zařízení, tedy ještě předtím, než jej opustí a bez dalšího zpracování, tedy bude spadat do této kategorie údajů. V tomto okamžiku tedy dochází ke zpracování podle definice GDPR v čl. 4 odst. 2.[19]

V recitálu GDPR jsou v bodech 14 a 15 podrobněji popsány genetické údaje a údaje o zdravotním stavu. Další upřesnění k údajům biometrickým zde nenajdeme.

Podle čl. 9 odst. 1 se „zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“.

DBP by se mohl za určitých okolností týkat zákaz zpracování „biometrických údajů za účelem jedinečné identifikace fyzické osoby“. A contrario, nebudou-li biometrické údaje zpracovávány za tímto účelem, pak se zjevně na ně tento zákaz nevztahuje – např. při autentizaci. Je totiž zřejmé, že evropský zákonodárce v případě biometrických údajů, na rozdíl od ostatních údajů spadajících do zvláštních kategorií osobních údajů, zamýšlel zakázat jejich zpracování pouze v určitých případech, tedy pouze za účelem jedinečné identifikace fyzické osoby; zpracování veškerých ostatních údajů v rámci zvláštních kategorií osobních údajů je dle rozebíraného čl. 9 odst. 1 zakázáno bez ohledu na účel, přičemž možné výjimky se nacházejí v odst. 2.

Modelovým případem tedy bude situace, kdy osoba před ověřením její identity otiskem prstu zadá své jméno či jiný jednoznačný identifikátor do systému (tím dojde k identifikaci) a otiskem prstu bude osoba autentizována, aniž by tyto biometrické údaje byly k identifikaci použity.

Autorům není příliš jasné, proč se vůbec objevily biometrické údaje bez nějakého dalšího rozlišování a členění jako citlivé údaje, resp. proč je jejich zpracování upraveno s tolika restrikcemi. Vycházejí nicméně z této skutečnosti a veškeré úvahy v tomto textu uvedené ji respektují.

Biometrická identifikace nebo autentizace zaměstnanců podle stanoviska ÚOOÚ č. 1/2017 

Ve výše uvedeném druhém znění Stanoviska č. 1/2017 ÚOOÚ jsou posuzovány podmínky používání otisků prstů (případně otisku dlaně) zaměstnanců pro použití v přístupových a docházkových systémech. „Použití biometrických znaků má vyloučit možnosti klamání zaměstnavatele při po­užití jiných prostředků, např. identifikačních karet, v docházkových systémech. V přístupových systémech má otisk prstu zajistit spolehlivé určení osoby oprávněné pro přístup do chráněných prostor nebo k chráněným informacím. … Otisk prstu je považován za prakticky unikátní. To zakládá možnost přímého ztotožnění nositele zobrazované biometrické charakteristiky. Tím otisk prstu naplňuje znaky citlivého biometrického údaje jako údaje umožňujícího přímou identifikaci nebo autentizaci subjektu údajů podle § 4 písm. b) zák. č. 101/2000 Sb., o ochraně osobních údajů. … Záměr zaměstnavatele na trvalé ukládání biometrických údajů, např. samotných scanů či snímků otisků prstů, často zpracovávaných společně s dalšími identifikačními údaji zaměstnanců v informačním systému zaměstnavatele v podobě, která umožňuje tyto informace dále zpracovávat, je zpracováním citlivých údajů, které je možné jen za podmínek stanovených § 9 zákona o ochraně osobních údajů, tedy buď s výslovným souhlasem subjektu údajů podle § 9 písm. a), nebo bez tohoto souhlasu za podmínek dále tímto ustanovením stanovených.“

Dále jsou rozlišeny přístupové a docházkové systémy a k nim ÚOOÚ uvádí (citováno vč. poznámek pod čarou):

„Přístupové systémy – Pokud se jedná o možnosti využití výjimky v § 9 písm. b) až i) zákona o ochraně osobních údajů pro zpracovávání biometrických údajů zaměstnanců, dá se využít toto ustanovení jen velmi omezeně. Z hlediska zákona o ochraně osobních údajů jde v tomto případě zejména o zpracování citlivých údajů, které je nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem ve smyslu § 9 písm. d), a dále se může jednat o zpracování nezbytné pro zajištění a uplatnění právních nároků ve smyslu § 9 písm. h), když tato možnost vyplývá ze zvláštních právních předpisů. … V praxi však u přístupových systémů, kde zajištění bezpečnosti zpracováním citlivých biometrických údajů není stanoveno zvláštním zákonem nebo spojeno se zvláštním zákonem předvídanou prováděcí vyhláškou, lze biometrické identifikace s vyhledáváním biometrických údajů v databázi po­užít jen s výslovným souhlasem jejich nositele podle § 9 písm. a) zákona o ochraně osobních údajů. Současně musejí být dodrženy všechny ostatní povinnosti správce podle zákona o ochraně osobních údajů, zejména § 10. V přístupových systémech by v návaznosti na uvedené mělo vždy platit pravidlo, že jde o mimořádné opatření, kdy, kromě ze zvláštního zákona vyplývající povinnosti zajistit bezpečnost přístupu, se zpravidla zpracovávají biometrické údaje omezeného okruhu oprávněných osob, na rozdíl od plošného zpracování biometrických údajů všech zaměstnanců v docházkových systémech.“

Podle názoru ÚOOÚ mají docházkové systémy jiný charakter: „Docházkové systémy – Podle přístupu Úřadu k této problematice deklarovaného ve výroční zprávě za rok 2007 i v odpovědích na četné dotazy veřejnosti k této problematice nelze použití systémů, v jejichž paměti dochází k uchovávání bio­metrických údajů v podobě, která umožňuje jejich další zpracování, považovat za nezbytné pro jakoukoli běžnou evidenci, např. pro evidenci docházky do zaměstnání. Zpracování biometrických údajů zejména v docházkových systémech lze proto posuzovat jako nepřiměřené ve vztahu k rozsahu a účelu zpracovávání, který je povinen stanovit každý správce. V důsledku toho může docházet k porušení povinnosti podle § 5 odst. 1 písm. d) zákona o ochraně osobních údajů, tedy shromažďování osobních údajů neodpovídajících stanovenému účelu a v rozsahu nikoli nezbytném pro naplnění stanoveného účelu, a to i v případě existence výslovného souhlasu subjektu údajů. … Obdobný přístup zaujímá většina úřadů na ochranu dat států Evropské unie.

Problematice zpracování biometrických dat se věnuje Stanovisko č. 3/2012 k vývoji biometrických technologií, které přijala Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená v rámci Evropské komise podle čl. 29 směrnice 95/46/ES Evropského parlamentu a Rady (Working Party – WP29). [Pozn. 1 – Stanovisko revidovalo a fakticky aktualizovalo předchozí dokument skupiny WP29, Pracovní dokument o biometrii, z 1. srpna 2003.]

Prvním podstatným hlediskem je, zda dochází k uchovávání úplných biometrických údajů, nebo zda systém vybírá z úplných biometrických údajů některé rysy specifické pro jednotlivce tak, aby vytvořil biometrickou šablonu, která je redukcí úplného biometrického obrazu.

Je žádoucí, aby šablony byly před uložením v systému zpracovávány matematickými operacemi (kódování, algoritmy nebo hash funkce) tak, aby nebyly volně čitelné nebo zpětně rekonstruovatelné.

Důležité přitom je, že různé systémy mají různé způsoby bezpečného převodu šablony otisku prstů do číselného vyjádření, které je uloženo v systému. Nelze proto říci, že určité takto získané číselné vyjádření je pro subjekt údajů ve všech systémech jednoznačné. Zpracování takovýchto číselných vyjádření šablon tedy nelze posuzovat jako zpracování biometrických údajů. [Pozn. 2 – Uvedené vyjádření je již v současnosti nutné s ohledem na technologický vývoj považovat za neúplné a nelze jej vztáhnout na všechny moderní biometrické systémy.]

Jiná situace by ovšem nastala v případě, kdy by existoval pouze jediný způsob převodu, a tudíž by každý subjekt měl ve všech těchto systémech jedinou hodnotu.

Jestliže dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné, a to při naplnění povinností správce podle § 5 odst. 1, a dále některé z podmínek § 5 odst. 2 písm. a), b) nebo e) zákona o ochraně osobních údajů i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje. [Pozn. 3 – Změna s účinností od 25. května 2018. Čl. 9 obecného nařízení považuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby za zpracování zvláštní kategorie osobních údajů.] Pro další zpracování údajů o docházce do zaměstnání za účelem plnění práv a povinností vyplývajících z pracovněprávních vztahů je v tom případě aplikovatelná i výjimka z oznamovací povinnosti podle § 18 odst. 1 písm. b) zákona o ochraně osobních údajů. [Pozn. 4 – Změna s účinností od 25. května 2018. Obecné nařízení již neukládá povinnost oznamovat zamýšlené zpracování osobních údajů. U zpracování zvláštních kategorií údajů lze však předpokládat povinnosti aplikovat některé z dalších mechanismů a nástrojů ochrany údajů.]

Dalším důležitým hlediskem je, zda je použitý systém založen na autentizaci (verifikaci) fyzické osoby, nebo na identifikaci subjektu údajů v databázi, v níž jsou uchovávány osobní údaje i dalších subjektů údajů. Autentizační (verifikační) systém pouze ověřuje totožnost fyzické osoby porovnáním údajů 1:1. Při identifikaci systém rozpoznává jednotlivce odlišením od ostatních osob, tedy výběrem jednoho z možných případů.

Plné biometrické údaje nebo biometrické šablony tedy mohou být uchovávány buď pouze v paměti biometrického zařízení, nebo v centrální databázi, případně u některých systémů na optických nebo čipových kartách, které uživatelům umožňují nosit je při sobě jako identifikační prostředek. Aplikace pro autentizaci (verifikaci) se často používají pro různé úkoly ve zcela odlišných oblastech a v odpovědnosti celé řady různých subjektů. Pro účely autentizace/verifikace není nezbytné uchovávat osobní údaje v databázi, postačuje je uchovávat decentralizovaně. Z hlediska zásady proporcionality jsou jednoznačně upřednostňovány biometrické aplikace, které nezpracovávají data získaná z tělesných stop nevědomě zanechaných jednotlivci a u kterých nejsou data uchovávána v centralizovaném systému. Povinnostem stanoveným zákonem o ochraně osobních údajů pro zpracování citlivých údajů proto nemusí podléhat systém, který pracuje pouze na principech autentizace, tedy metody kontroly příchodu a odchodu zaměstnance, kdy čtecí zařízení, do kterého otisk prstu vkládá na základě požadavku zaměstnavatele na kontrolu docházky sám zaměstnanec, porovnává údaje 1:1.

Při příchodu na pracoviště nebo odchodu z něj je po zvolení osobního čísla zaměstnance vložený otisk s přiložením příslušného prstu použit pouze pro ověření totožnosti subjektu údajů. Do dalšího zpracování osobních údajů snímek otisku prstu nebo dlaně však již nevstupuje a systém jeho další zpracování ani ne­umožňuje. Osobní číslo zaměstnance je v takovémto docházkovém systému druhým identifikátorem, který však může být zaměstnavatelem zpracováván v souladu se zákonem o ochraně osobních údajů i bez souhlasu subjektu údajů ve smyslu § 5 odst. 2 písm. e). [Pozn. 5 – Změna s účinností od 25. května 2018. Čl. 9 obecného nařízení považuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby za zpracování zvláštní kategorie osobních údajů.]

Rozhodné pro posouzení, zda jde o z hlediska zásad ochrany přípustnou autentizaci, nebo o identifikaci, kterou je třeba podrobit přísné regulaci, je, zda účelem použití otisku prstu je pouze ověření totožnosti porovnáním s přiloženým prstem ruky, nebo v systému dochází v návaznosti na přiložení ruky nebo její části (případně karty s RFID čipem, který již tyto informace obsahuje) k vyhledávání a porovnávání informací s údajem uchovávaným v databázi biometrických údajů, která musí být vždy považována za zpracování citlivých údajů, podléhající režimu § 9 zákona o ochraně osobních údajů.

Zaměstnavatel musí důsledně splnit nejen shora uvedené povinnosti podle § 5, 9 a 16, ale dále také informační povinnost podle § 11 a povinnosti při zabezpečení osobních údajů podle § 13-15 zákona o ochraně osobních údajů, jestliže by šlo o shromažďování citlivých údajů umožňující jejich další zpracování v databázi, ale v případě jakéhokoli systému založeného na použití biometrických znaků i informační povinnost o základních pracovních podmínkách a jejich změnách podle § 279 zákoníku práce, neboť může nastat situace, kdy zaměstnanec výlučně vstupní otisk prstu pro ověření totožnosti neposkytne z obavy z jeho možného zneužití.“

Z výše citovaného stanoviska lze dospět k následujícím závěrům:

1. Stanovisko reflektuje právní režim GPDR, neboť ve své aktualizované verzi bylo vydáno po nabytí platnosti GDPR a výslovně také GDPR zmiňuje.
2. U přístupových systémů lze souhlasit s výše uvedeným závěrem, že tam, kde zajištění bezpečnosti zpracování citlivých biometrických údajů není stanoveno zvláštním zákonem nebo spojeno se zvláštním zákonem předvídanou prováděcí vyhláškou, lze biometrické identifikace s vyhledáváním biometrických údajů v databázi použít jen s výslovným souhlasem jejich nositele podle § 9 písm. a) zákona o ochraně osobních údajů, resp. po nabytí účinnosti GDPR s výslovným souhlasem podle čl. 9 odst. 2 písm. a) GDPR. Současně musejí být dodrženy všechny ostatní povinnosti správce podle zákona o ochraně osobních údajů, zejména § 10, podle kterého při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů; obdobně po nabytí účinnosti GDPR povinnosti stanovené v tomto nařízení.
3. Podle názoru autorů je namístě mít „neprůstřelné“ zdůvodnění, proč je taková kontrola přístupu žádoucí, pokud se tak neděje ze zákona, a na které osoby se vztahuje. Podle platné právní úpravy GDPR je zákonnost zpracování jako taková odůvodnitelná podle čl. 6 odst. 1 písm. b) [zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů; podle autorů se může jednat v případě docházkových či přístupových systémů i o smlouvu pracovní, příkazní, o dílo atd.], d) [zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. ochrana osoby před vstupem do nebezpečného prostoru – viz § 101 odst. 1 zákoníku práce] nebo f) [zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany – např. zájem na ochraně majetku vč. informací, a to včetně ochrany osobních údajů zpracovávaných správcem či zpracovatelem], při splnění podmínek dle čl. 9 GDPR.
4. Východisko ÚOOÚ, podle kterého u docházkových systémů „nelze použití systémů, v jejichž paměti dochází k uchovávání biometrických údajů v podobě, která umožňuje jejich další zpracování, považovat za nezbytné pro jakoukoli běžnou evidenci, např. pro evidenci docházky do zaměstnání. Zpracování biometrických údajů zejména v docházkových systémech lze proto posuzovat jako nepřiměřené ve vztahu k rozsahu a účelu zpracovávání, který je povinen stanovit každý správce. V důsledku toho může docházet k porušení povinnosti podle § 5 odst. 1 písm. d) zákona o ochraně osobních údajů, tedy shromažďování osobních údajů neodpovídajících stanovenému účelu a v rozsahu nikoli nezbytném pro naplnění stanoveného účelu, a to i v případě existence výslovného souhlasu subjektu údajů“, je podle názoru autorů neopodstatněné, neboť není naprosto zřejmé, jaká újma může nastat subjektu údajů, je-li splnění jeho pracovněprávní povinnosti [dostavit se do zaměstnání v určenou dobu a na určené místo, viz § 38 odst. 1 písm. b) zákoníku práce] prokazováno pomocí biometrických údajů, které nijak nemohou způsobovat ani potenciální újmu (nejedná se o údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, zpracování genetických údajů, údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby tak, je se uvádí v čl. 9 odst. 1 GDPR). Nemluvě o tom, že i zde ÚOOÚ zcela bagatelizuje svobodnou vůli subjektu údajů (poskytnutí výslovného souhlasu), čemuž se věnujeme dále. Většina docházkových systémů s biometrickými údaji pracuje tak, že otisk prstu je po sejmutí transformován do číselné posloupnosti jednosměrnou funkcí typu hash, která neumožňuje biometrické údaje rekonstruovat, a v tomto tvaru také tuto reprezentaci otisku prstů uchovává.
5. ÚOOÚ připouští, že mohou být používány šablony, přičemž „je žádoucí, aby šablony byly před uložením v systému zpracovávány matematickými operacemi (kódování, algoritmy nebo hash funkce) tak, aby nebyly volně čitelné nebo zpětně rekonstruovatelné“, a dochází k závěru, že „Jestliže dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné, a to při naplnění povinností správce podle § 5 odst. 1 a dále některé z podmínek § 5 odst. 2 písm. a), b) nebo e) zákona o ochraně osobních údajů i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje.“ V poznámce pod čarou č. 3 ale uvádí, že „Čl. 9 obecného nařízení považuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby za zpracování zvláštní kategorie osobních údajů“, čímž možná naznačuje, že po nabytí účinnosti GDPR to je jinak. Produktem těchto úvah je tedy zřejmě i v úvodu citované rozhodnutí č. j. UOOU-10138/18-8.

Je používání DBP v rozporu s GDPR? 

Touto problematikou se druhý z autorů zabýval již dříve před vydáním citovaného rozhodnutí. V článku uveřejněném v roce 2017 v Revui pro právo a technologie[20] dospěl k následujícím závěrům:

„DBP snímá ‚surová‘ biometrická data, která jsou využívána pouze pro podepsání dokumentu, jejich využití nebude spojeno s dalším automatickým zpracováním biometrických údajů a DBP není používán pro identifikaci subjektu údajů. U dynamického biometrického podpisu se nejedná o identifikaci, neboť je to právě daná osoba, která podpisem stvrzuje svoji identifikaci (uvedením jména podepisující osoby, případně dalších údajů, k nimž je podpis připojen) při určitém úkonu, což dokládá vytvořením svého podpisu.

Biometrické údaje jsou šifrovány, chráněny proti neoprávněnému přístupu a jsou zpřístupněny třetí osobě (soudnímu znalci) pouze v případě sporu o pravost podpisu, a to velmi formalizovaným postupem obsahujícím vysoké záruky – viz výše.

Stále jde tedy o postup, který odpovídá dřívějšímu názoru ÚOOÚ z roku 2016, podle kterého dochází k použití DBP ve stejném právním režimu jako při zpracování klasického podpisu, tj. že nejde o zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Podle názoru autora by tedy nemělo dojít k přehodnocení výše citovaného stanoviska ÚOOÚ v souvislosti s použitím DBP pro podepisování dokumentů po nabytí účinnosti GDPR, neboť DBP bude využíván stejně jako podpis klasický, tzn. jeho využití nebude spojeno s dalším automatickým zpracováním biometrických údajů a nebude používán pro identifikaci subjektu údajů.“

Je nepochybné, že v daném případě chtěl správce zvýšit právní jistotu (svoji i subjektu údajů) o tom, že dokument byl skutečně podepsán osobou, jež je na něm uvedena. Lze se domnívat, že tento postup je v souladu s obsahem bodu 47 recitálu GDPR, podle kterého „Oprávněným zájmem dotčeného správce údajů je rovněž zpracování osobních údajů nezbytně nutné pro účely zamezení podvodům.“ Obyčejný obrázek, který požaduje ÚOOÚ, neposkytuje ani řádově stejné bezpečnostní záruky jako DBP, když zejména neumožňuje provedení dostatečně průkazného znaleckého posudku posuzujícího pravost podpisu v případě pochybností či v případě rozporování jeho pravosti podepsanou osobou. Použití DBP je tedy podle názoru autorů vzhledem k danému účelu oprávněné a plně legitimní. Podle názoru autorů je to právě ÚOOÚ, který svým požadavkem na návrat k zastaralému postupu zvyšuje rizika podvodu, a tedy snižuje bezpečnost celé podpisové, resp. smluvní operace, a to aniž by pro tento svůj požadavek poskytl odůvodnění opírající se o platnou právní úpravu. Tím snižuje právní sílu podpisu, jehož zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků podle čl. 9 odst. 2 písm. f) GDPR.

K problematice souhlasu subjektu údajů[21] 

Bod 42 recitálu GDPR mj. uvádí, že „Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.“ Podobně uvádí čl. 7 odst. 4 „Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.“

GDPR obecně klade na souhlas vyšší požadavky, nežli tomu bylo u předchozí právní úpravy, jak vyplývá především ze čl. 7. Musí se jednat o souhlas nejen svobodný, ale také informovaný, který tak subjekt údajů poskytuje při plném vědomí toho, s čím souhlasí, kromě toho odlišitelný od jiných skutečností a srozumitelný. GDPR v čl. 7 odst. 2 výslovně stanoví důsledek porušení těchto požadavků na souhlas tak, že jakákoli část prohlášení, která by představovala porušení GDPR, „není závazná“.

Základní zásady GDPR, včetně zásady minimalizace údajů, podle které musí být osobní údaje „přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány“, se aplikují na každé zpracování, bez ohledu na jeho právní základ. Použijí se tak i na zpracování založené na souhlasu subjektu údajů. Způsob použití této zásady v rozebíraném rozhodnutí ÚOOÚ, které je ve svém důsledku de facto zpochybněním práva osoby jinak svéprávné souhlas poskytnout, považují autoři za nesprávný a postrádající oporu v platné právní úpravě GDPR. Dle hodnocení autorů platí, že jsou-li splněny požadavky kladené GDPR na souhlas a účel zpracování, k němuž byl souhlas udělen, je legitimní, nadále trvá a zpracování daných kategorií osobních údajů je k danému účelu potřebné, pak není možné udělený souhlas bagatelizovat závěrem o nadbytečnosti zpracování. Autoři navíc považují za zcela nesprávné dovodit nadbytečnost zpracování osobních údajů z existence alternativní možnosti zpracování, kterou správce nabízí těm osobám, které souhlas dobrovolně neposkytly.

Evropský sbor pro ochranu osobních údajů[22] na svém plenárním zasedání ve dnech 9. až 10. 6. 2019 schválil vydání dokumentu „Pokyny 3/2019 o zpracování osobních údajů prostřednictvím videozařízení“ pro veřejnou konzultaci.[23] Z hlediska zde popisované problematiky DBP a informovaného souhlasu považují autoři za užitečné citovat:

„74. Aby bylo zpracování považováno za zpracování zvláštních kategorií osobních údajů (článek 9), je vyžadováno, aby byly biometrické údaje zpracovávány ‚za účelem jedinečné identifikace fyzické osoby‘.

75. Lze tedy shrnout, ve světle článku 4 bod 14 a článku 9, že musí být posouzena tři kritéria:

Povaha údajů: údaje vztahující se k fyzickým, fyziologickým nebo behaviorálním charakteristikám fyzické osoby,

Prostředky a způsob zpracování: údaje, ‚které jsou výsledkem specifického technického zpracování‘,

Účel zpracování: údaje musejí být použity za účelem jedinečné identifikace fyzické osoby.

76. Použití kamerového monitorování zahrnujícího funkcionality biometrického rozpoznávání soukromými entitami pro jejich vlastní účely (např. marketingové, statistické, či dokonce bezpečnostní) bude ve většině případů vyžadovat výslovný souhlas subjektu údajů [článek 9 odst. 2 písm. a)], nicméně další vhodná výjimka dle článku 9 může být také aplikovatelná“.

V příkladu v bodu 77 dokumentu se pak výslovně uvádí „To ensure the lawfulness of the processing, the controller must always offer an alternative way to access the building, without biometric processing, such as badges or keys“, tj. „K zajištění zákonnosti zpracování musí správce vždy nabídnout alternativní způsob přístupu do budovy bez biometrického zpracování, jako jsou průkazky nebo klíče.“

Právě alternativní možnost je základní podmínkou skutečně svobodného souhlasu. Posouzení její existence jako důkazu o nadbytečnosti zpracování založeného na souhlasu pak autoři neváhají označit jako zcela absurdní. Platná právní úprava GDPR ani zák. č. 110/2019 Sb., o zpracování osobních údajů, nedává dle hodnocení autorů ÚOOÚ oprávnění zpochybnit zpracování kategorií údajů zahrnutých v poskytnutém souhlasu pro účely v souhlasu vymezené v situaci, kdy se jedná o zpracování legitimní, pro daný účel přiměřené, relevantní a omezené na nezbytný rozsah, a také souhlas splňuje požadavky stanovení GDPR.

Autoři jsou přesvědčeni, že v případě zpracování založeném na souhlasu, resp. výslovném souhlasu subjektu údajů, je obecně aplikace zásady minimalizace do jisté míry limitována právě poskytnutým souhlasem, a tedy nemožností ingerence orgánu dozoru do právního jednání učiněného svéprávnou fyzickou osobou; posuzování přiměřenosti, relevantnosti a nezbytného rozsahu se tak zaměří především na aspekt časový, tedy na to, zda zpracovávané údaje ještě stále tato kritéria splňují. Opačný závěr by totiž v praxi vedl k absurdním situacím, kdy by orgán dozoru byl oprávněn de facto negovat právní jednání svéprávné fyzické osoby, kterýmžto oprávněním ho zákonodárce (ani evropský zákonodárce) vybavit zajisté nemínil a ani z textu GDPR či jiného relevantního předpisu tak nelze usuzovat.

Podpis, v případě dokumentů v elektronické formě DBP, je dle hodnocení autorů zcela jednoznačně údajem přiměřeným, relevantním a omezeným na nezbytný rozsah ve vztahu k účelu zpracování, a to zvláště v případě, kdy je DBP zpracováván na základě výslovného souhlasu podepisující osoby. Ostatně i zákon č. 89/2012 Sb., občanský zákoník, je postaven na zásadě uplatňující se na posuzování soukromoprávních jednání, vyjádřené v § 574, dle které „Na právní jednání je třeba spíše hledět jako na platné než jako na neplatné.“

K riziku spojenému s DBP 

Ještě je třeba připomenout bod 76 recitálu GDPR, podle kterého „Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.“ U implementací, na kterých se autoři podíleli (nutno podotknout, že se jednalo o správné implementace DBP, jak jsou popsány výše), byl výsledkem takového posouzení, tedy DPIA analýzy a znaleckého posudku na správnost implementace, závěr, že používání DBP pro podepisování dokumentů představuje pro dotčené subjekty údajů riziko zcela minimální. Dle názoru a dosavadních zkušeností autorů neexistuje důvod, pro který by v jiných budoucích případech za podmínky správné implementace DBP měl výsledek DPIA analýzy být odlišný. Naopak DBP je dle hodnocení autorů velmi účinným nástrojem pro snižování rizika obou stran. Autorům není známo, zda ÚOOÚ nebo správce v průběhu uvedeného řízení takový aspekt posuzovali, případně zda správce provedl posouzení vlivu na ochranu osobních údajů ještě před zahájením jejich zpracování podle čl. 35 GDPR. (Viz také bod 91 recitálu.)

Skutečné riziko DBP dle názoru autorů spočívá právě v nesprávné implementaci DBP, která by umožňovala jeho zneužití, resp. zneužití údajů osob, které by se při využití takto nesprávně implementovaného DBP podepisovaly. Dle názoru autorů by se právě tomuto riziku, které je zcela zásadní, měl ÚOOÚ věnovat, zdá se však, že ÚOOÚ si tohoto rizika patrně není vědom, možná kvůli nutnosti komplikovanějšího technického posouzení, a zaměřuje se tak na snadnější cíl, kterým je DBP sám o sobě.

Závěry 

Na otázky, které si autoři položili v úvodu, odpovídají tedy následovně:

1. Zda opravdu při používání DBP tak, jak je implementován v případech známých autorům, dochází k jedinečné identifikaci fyzických osob, jež je podle čl. 9 odst. 1 GDPR zakázána?

K jednání v rozporu s čl. 9 odst. 1 GDPR nedochází. Podepisující osoba je identifikována údaji uvedenými v otevřené formě v dokumentu, který podepisuje. DBP – tedy biometrické údaje neslouží k identifikaci, ale pouze naplňují požadavky ust. § 561-562 o. z. o právním jednání učiněném v písemné formě. Pokud není k dispozici databáze vzorů (šablon) DBP a nedochází k jejich porovnávání za účelem identifikace osoby, pak lze hovořit i o tom, že v takovém případě DBP vůbec nesplňuje pojmové znaky podle čl. 4 bod 14 GDPR a není biometrickým údajem.

2. Pokud subjekt údajů projeví svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým výslovně prohlášením či jiným zjevným potvrzením dává své svolení ke zpracování svých osobních údajů – v daném případě DBP, je nějaký důvod, aby se v takovém případě neuplatnil čl. 9 odst. 2 písm. a), podle kterého se odst. 1 nepoužije, pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů?

Dle závěrů autorů nikoli. Za podmínky, že poskytnutý výslovný souhlas splňuje požadavky GDPR, jedná se o zpracování legitimní, účel zpracování odpovídá účelu vymezenému v souhlasu a tento účel nadále trvá a také zpracovávané kategorie údajů odpovídají kategoriím vymezeným v souhlasu, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, není dle názoru autorů možné v mezích platné právní úpravy učinit závěr o nadbytečnosti údajů či jejich zpracování.

3. Zda vzhledem k účelu, ke kterému má používání DBP sloužit, je namístě striktně vyžadovat jeho náhradu prostým obrázkem podpisu?

Návrat k používání pouhého obrázku, navíc v digitální formě, kde nelze rozlišit originál a kopii, extrémním způsobem zvyšuje riziko zhotovení padělku nebo popírání pravosti vlastního podpisu. Požadavek na náhradu DBP prostým obrázkem podpisu na základě důvodu jeho údajné „nadbytečnosti“ je v rozporu s požadavky na snižování rizika a zvýšení spolehlivosti podepisovacího procesu. Proto je třeba tento krok hodnotit jako požadavek, který je v rozporu nejen se zájmy smluvních stran, ale i se současným požadavkem na zvyšování právní jistoty a bezpečnosti transakcí.

Nelze samozřejmě vyloučit, že se jedná o hluboké nedorozumění způsobené nedostatečným seznámením s technickou stránkou DBP, a o na straně účastníka řízení a následně ÚOOÚ, a z toho vyplývajícím závěrem o tom, že DBP je biometrickým údajem ve smyslu čl. 4 odst. 14 GDPR na základě pouhého výskytu slova „biometrický“ v názvu DBP. Mohla by tomu nasvědčovat i skutečnost, že jde o ryze české národní rozhodnutí, které se neopírá o žádné z autorům známých doporučení Evropského sboru pro ochranu osobních údajů. Tím spíše je třeba věnovat tomuto rozhodnutí a jeho analýze mimořádnou pozornost.

Závěrem považují autoři za vhodné ocitovat rozhodnutí Nejvyššího správního soudu, které souvisí s podepisováním.[24] Ve svém rozhodnutí NSS poměrně přiléhavě uvedl k podpisu jako takovému: „Podpis, není-li úředně ověřen, totiž za běžných okolností není nic víc než omezeně spolehlivý autentifikační prostředek – jeho přítomnost na podání obvykle zvyšuje pravděpodobnost, že je učinil vskutku ten, kdo v něm je za podatele označen, ale málokdy o tom dává jistotu. Za normálních okolností, chovají-li se lidé rozumně a poctivě, z čehož je nutno vycházet, je nepochybně jakousi ‚originální značkou‘ toho, kdo se podepsal. Není však příliš obtížné běžný (neověřený) podpis padělat, napodobit či vytvořit (ať ve zlém, či dobrém úmyslu) podání pouze navenek vypadající jako učiněné osobou, jež je v něm za podatele deklarována, a toto podání podepsat zcela jiným podpisem, než jaký skutečně užívá osoba, jíž je podání přičítáno.“ Právě proto, že – jak konstatuje NSS – je podpis pouze omezeně spolehlivý autentifikační prostředek, je tím plně odůvodněno v zájmu zvýšení právní jistoty všech smluvních stran místo obyčejného obrázku po­užívání DBP, který výrazně zvyšuje možnost ověření jeho pravosti. Pokus o zamezení používání DBP, který by se dal dovozovat z předmětného rozhodnutí ÚOOÚ, tedy dle názoru autorů není v souladu s celospolečenskými zájmy.

 

JUDr. Martin Maisner, Ph.D., MCIArb, je advokátem, členem představenstva ČAK, předsedou Sekce ČAK pro právo IT a GDPR. 

Prof. Ing. Vladimír Smejkal, CSc., LL.M., DrSc., je mezinárodně uznávaným odborníkem, vysokoškolským pedagogem a soudním znalcem v Praze; v letech 2004-2014 byl členem LRV.

JUDr. Miroslav Uřičař je společníkem v AK Legalité, rozhodcem, členem Komise pro správní právo LRV ČR a rozkladové komise ERÚ.

---

[1] Rozhodnutí Úřadu pro ochranu osobních údajů ze dne 21. 3. 2019, č. j. UOOU-10138/18-8.

[2] Rozhodnutí se kromě DBP také zabývá uchováváním záznamů telefonních hovorů s klienty dotyčného subjektu, v čemž spatřuje porušení zásady zpracování osobních údajů stanovené v čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679, tedy zásady, že osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“). Dále jsou v rozhodnutí posuzovány i další otázky procesního charakteru. Nic z toho ale není předmětem tohoto příspěvku.

[3] Klíčové pasáže rozhodnutí zvýraznili autoři tučně.

[4] V. Smejkal: Dynamický biometrický podpis a nařízení GDPR, Revue pro právo a technologie, VIII., č. 16/2017, str. 89-112.

[5] Rastrové obrázky jsou složeny z jednotlivých bodů (pixelů), zatímco vektorová grafika pracuje s obrazovou informací tak, že obraz je složen z matematicky definovaných křivek – vektorů (body, přímky, křivky). Programy, které pracují s vektorovou grafikou, ukládají grafickou informaci pomocí matematického zápisu, který definuje tvar, barvu, tloušťku, výplň a další parametry křivky.

[6] Alternativou je varianta [x, y, p, t], kde p je hodnota odpovídající tlaku na snímací podložku.

[7] Viz experimenty popsané např. v V. Smejkal, J. Kodl: Assessment of the authenticity of Dynamic Biometric Signature, The results of experiments, in Proceedings of the 48th Annual 2014 IEEE I;nternational Carnahan Conference on Security Technology (ICCST), 13-16 October 2014, Roma, Italia, str. 45-49, a V. Smejkal, J. Kodl, JF. Hortai, P. Tesař: About the Abuse Options of the Dynamic Biometric Signature, in B. Rich (ed.): Proceedings of 52th Annual 2018 International Carnahan Conference on Security Technology (ICCST), Montréal, Canada, str. 42-47.

[8] Vlastní data jsou šifrována blokovou šifrou AES veřejným klíčem podle algoritmu RSA, který zajišťuje, že se k datům dostane pouze oprávněná osoba a za zvláštních podmínek (počítač provádí další zpracování zašifrovaného podpisu).

[9] Hashováním nazýváme převod obsahu dokumentu matematicko-kryptografickou metodou na jeho reprezentaci řetězcem čísel s pevně definovanou délkou pomocí jednocestné funkce, dnes např. SHA-256 a vyšší. Tím získáme standardní otisk (hash) z jakéhokoli dokumentu, který je následně jedním ze vstupů do procesu podepsání. Více o hashích viz např. P. Mates, V. Smejkal: E-government v České republice, Právní a technologické aspekty, 2. vydání, Leges, Praha 2012, str. 286 a násl.

[10] AES-256 je algoritmus používaný k symetrickému šifrování dat, šifrující i dešifrující stejným klíčem na obou stranách, o délce klíče 256 bitů. Diffie-Hellman-Merkle protokol je kryptografická metoda, která umožňuje přes nezabezpečený kanál vytvořit šifrované spojení mezi komunikujícími stranami, a to bez nutnosti předchozího dohodnutí šifrovacího klíče. (Je to alternativa k RSA.) Výsledkem je vytvoření symetrického šifrovacího klíče, který je efektivnější a může být použit pro šifrování další komunikace. RSA-2048 je algoritmus používaný k asymetrickému šifrování dat, který se dá používat pro podepisování i šifrování dokumentů, protože používá soukromý a veřejný klíč o délce 2 048 bitů. Viz např. S. Singh: Kniha kódů a šifer, 1. vydání, Argo, Praha 2003.

[11] Ochrana biometrických údajů byla na základě poslaneckého pozměňovacího návrhu začleněna do zákona zákonem č. 439/2004 Sb. Formulace „biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů“ se objevila až v rámci novely zákona o ochraně osobních údajů provedené zákonem č. 170/2007 Sb.

[12] Do té doby byly v zákoně č. 101/2000 Sb. citlivé osobní údaje vymezeny tak, že je „citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoli biometrický nebo genetický údaj subjektu údajů“.

[13] Parlament České republiky, Poslanecká sněmovna, Důvodová zpráva k návrhu zákona, kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru, sněmovní tisk č. 187, V. volební období, 2007.

[14] Podle P. Mates, P. V. Smejkal, op. cit. sub 9, str. 272 a násl.

[15] Rozsudek Nejvyššího správního soudu ze dne 27. 2. 2014, sp. zn. 4 As 132/2013.

[16] Úřad pro ochranu osobních údajů: Změna v hodnocení úrovně právní ochrany biometrických údajů [online]. [cit. 2017-21-11]. Dostupné z: https://www.uoou.cz/zmena-vhodnoceni-urovne-pravni-ochrany-biometrickych-udaju/d-23850.

[17] ČSN ISO/IEC 19795-1. Informační technologie – Testování a hodnocení výkonnosti biometrik – Část 1: Principy a základní struktura.

[18] Úřad pro ochranu osobních údajů: Stanovisko č. 1/2017 – Biometrická identifikace nebo autentizace zaměstnanců [online]. [cit. 2017-21-11]. Dostupné z: https://www.uoou.cz/stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizacezamestnancu/d-23849/p1=1099.

[19] Zpracováním se rozumí jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

[20] Op. cit. sub 4, str. 89-112.

[21] Autoři se v tomto textu, s ohledem na jeho rozsah, omezují pouze na posouzení právního základu zpracování DBP v podobě souhlasu, jak tomu bylo v případě rozebíraného rozhodnutí. Nezabývají se tedy posouzením možného použití jiných právních základů dle čl. 9 odst. 2 GDPR, zejména zpracování nezbytného pro určení, výkon nebo obhajobu právních nároků.

[22] Evropský sbor pro ochranu osobních údajů je nezávislý evropský subjekt, který přispívá k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii a prosazuje spolupráci mezi úřady pro ochranu osobních údajů v EU. Je složen ze zástupců vnitrostátních úřadů pro ochranu údajů a evropského inspektora ochrany údajů (EIOÚ). Pokud jde o záležitosti týkající se obecného nařízení o ochraně osobních údajů, členy jsou rovněž vnitrostátní orgány dohledu států ESVO/EHP, a to bez práva hlasovat a být zvolen do funkce předsedy nebo místopředsedy. Evropský sbor pro ochranu osobních údajů (EDPB) byl zřízen obecným nařízením o ochraně osobních údajů a sídlí v Bruselu.

[23] European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices. Adopted on 10 July 2019. Version for public consultation. [online]. [cit. 2019-07-26]. Dostupné z: https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_cs.

[24] Rozsudek NSS ze dne 27. 7. 2017, sp. zn. 2 As 80/2017.