Leges, Praha 2019, 115 str., 313 Kč

 

Publikace vydaná nakladatelstvím Leges v roce 2019 si za primární cíl klade poskytnout přehled v problematice biometrických (osobních) údajů se zaměřením na právní úpravu obsaženou v nařízení GDPR[1]. Druhotným cílem publikace je reflektovat analýzu právní úpravy de lege lata na Slovensku se zvláštním významem přiznaným biometrickému podpisu a kamerovému systému.

Právnické publikace zabývající se biometrickými údaji na území České republiky z komplexního pohledu ve velké míře nenalezneme, ovšem je možno poukázat na knihu Biometric Data and Its Specific Legal Protection[2] od autorů Jána Matejky, Alžběty Krausové a Vojena Güttlera, která pojednává o aktuálním tématu současného digitálního věku, jímž jsou otázky spojené s právní ochranou biometrických údajů, včetně možnosti jejich zneužití. Byť se jedná o publikaci českých autorů, je psána v jazyce anglickém. S oblastí biometrických údajů v rámci českého právního prostředí se setkáváme zpravidla ve formě odborných článků, například Biometrické údaje a jejich právní režim[3], nebo odborné články od prof. Ing. Vladimíra Smejkala, CSc., LL.M.

Publikace Biometrické osobné údaje podľa GDPR (biometrický podpis, kamerový systém) je uspořádána do čtyř kapitol, od vymezení biometrických osobních údajů obecně, přes konkrétní biometrické údaje, biometrický podpis a kamerový systém a uzavřené poslední kapitolou věnující se biometrickým údajům v zaměstnání.

 

V první kapitole je čtenář seznámen s vývojem technologického pokroku a zvýšeným zájem k biometrické autentifikaci. Autorky poukazují na zlepšení a zjednodušení budoucnosti prostřednictvím biometrie. Současně vyjmenovávají oblasti, kde se očekává klíčová role osobního ověřování totožnosti. Kapitola obsahuje tabulku porovnání výhod a nevýhod biometrie, ovšem je nutno podotknout, že poněkud plytkou a nikterak hlouběji vysvětlenou. Současně působí poněkud zmateně tvrzení, že v případě odcizení biometrických údajů hrozí větší riziko zneužití oproti heslu skládajícího se z několika znaků.

Ve stejném duchu se nese i podkapitola věnující se pojmu biometrika. Ten autorky vymezují jako metriku související s lidskými rysy. S tímto tvrzením se však dá souhlasit jen částečně, neboť nezahrnuje i další aspekty, zejména schopnost osobu prostřednictvím takových rysů ztotožnit. Biometrika totiž představuje metody pro snímání a zpracování biometrických dat, tzn. určitých charakteristik nebo znaků osob, na základě kterých je možné danou osobu jednoznačně identifikovat/verifikovat. Autorky dokonce považují pojem biometrika za synonymum biometrických údajů, což ovšem je lichá domněnka, neboť biometrické údaje jsou pojmem mnohem užším než biometrika. V této souvislosti je nutné upozornit, že autorky používají napříč celou publikací místy matoucí a nepřesný pojem „osobní biometrické údaje“. Biometrické údaje patří totiž mezi speciální osobní údaje a jelikož se vždy vztahují k fyzické osobě, musí být i údaji osobními. Jedná se tedy o speciální kategorii osobních údajů. V první kapitole publikace dále čtenář nalezne odpověď, jak funguje biometrická identifikace a co tkví pod tzv. registrací konkrétní osoby či šablony. Na závěr již zcela přiléhavě definují nově biometriku svými slovy, jejímž účelem je verifikace člověka s cílem odlišit ho od ostatních.

V rámci podkapitoly o zpracování biometrických osobních údajů je rozebrán čl. 9 GDPR, jenž se vztahuje k identifikaci, a nikoliv k autentizaci, a následně autorky doporučují dodržovat jimi navržených šest obecných kroků pro zákonné zpracování biometrických údajů. Ve vztahu k výslovnému souhlasu jako jedné z výjimek zpracování osobních údajů dochází k prostému převyprávění GDPR v souvislosti s občianským zákoníkem. Za pozitivní lze pokládat vytvořený seznam otázek pro provozovatele, jež si mají klást při požadavku výslovného souhlasu, jakož i celou část věnující se provozovatelům. K jistému převyprávění GDPR došlo rovněž ve vztahu k DPIA (Data Protectiom Impact Assessment). Autorky citují Zoznam spracovateľských operácií podiehajúcích posúdeniu vlivu na ochranu osobních údajov Slovenskej republiky stran čl. 35 GDPR včetně obsahu třinácti zpracovatelských operací. Opomenut nezůstal test proporcionality, který by měl podle názoru autorek vykonávat provozovatel, byť taková povinnost „exaktně nevyplývá z GDPR“ (zřejmě výraz „explicitně“).

Stran podkapitoly o druzích biometrických údajů se čtenář však nedozví téměř nic nového oproti již dříve uvedeným skutečnostem. Autorky na základě výčtu biometrických údajů uvádějí nejčastější biometrické údaje, avšak čtenáři není zřejmé z jakého důvodu považují zvolené biometrické údaje za nejčastější. Současně budí pozornost tvrzení, že biometrickým údajem je vlastnoruční podpis, a nikoliv biometrický podpis. Ve vztahu k názvu publikace by čtenář očekával alespoň v podkapitole věnující se druhům biometrických údajů širší pojetí a seznámení se s více druhy biometrických údajů, například s analýzou sítnice, analýzou markantů hlavy, detekcí pachu těla, analýzou vzorku DNA nebo dokonce srdečním tepem, krevním tlakem, hladinou cukru v krvi, které nejsou určeny k identifikaci fyzické osoby, nýbrž k zhodnocení zdravotního stavu.[4]

 

Druhá kapitola se zabývá biometrickým podpisem. Již v úvodu autorky vyslovují diskutabilní tvrzení, že spatřují důvod zavedení biometrického podpisu v zelené době (ekologický důvod) a politice nižšího využívání papíru. Okrajově se věnují elektronickým dokumentům a elektronické faktuře, která a priori musí splnit požadavky pro klasickou papírovou fakturu. Stran biometrického podpisu dodávají, že musí technické zařízení být schopné získat a zaznamenat biometrické prvky, v opačném případě by šlo o klasický podpis. Rozlišují dva druhy využití biometrického podpisu, jednak podpis prostřednictvím tabletu sloužící pouze k identifikaci fyzické osoby, kdy druhá strana nedisponuje databází pro porovnání biometrických údajů (rychlost, sklon a jiné). Na jedné straně tak autorky za biometrický údaj považují celý biometrický podpis a na straně druhé jen jeho prvky, což působí poměrně rozporuplně. Druhou situaci představuje situace, kdy společnost vede databázi vzorových podpisů a komparací je možno vyselektovat a identifikovat pravost a originalitu dané fyzické osoby. Autorky dále biometrický podpis rozebírají z technologického hlediska – tuto podkapitolu lze označit za místy až stručný ovšem pro laika dostačující popis. Část věnující se technologické inovaci na platformě biometrického podpisu zakončují vyjmenováním hlavních výhod, s drobným vysvětlením biometrického podpisu, které lze považovat výstižné.

Druhá kapitola dále obsahuje podkapitolu věnující se právní úpravě biometrického údaje na Slovensku, v níž autorky vyjmenovávají dotčené právní předpisy a v souvislosti s nařízením eIDAS se podrobněji zabývají elektronickým podpisem, zdokonaleným elektronickým podpisem a kvalifikovaným elektronickým podpisem. Z učiněných závěrů autorek však není zřejmé, jaký je vztah mezi elektronickým a biometrickým podpisem mimo tvrzení, že na biometrický podpis se použijí analogicky implementace ustanovení nařízení eIDAS. Na závěr však dospěly k závěru, že biometrický podpis je zdokonalený elektronický podpis, na jehož základě lze identifikovat osobu prostřednictvím technologických zařízení umožňující sledovat behaviorální prvky. Ocenit lze část věnující se trestněprávním následkům zneužití, falšování, odcizení a jiného porušení vztahujícího se k biometrickému podpisu, byť je pojata velmi stručně a obecně bez hlubšího ponoření se do trestněprávní roviny.

 

Kamerovému systému je dán prostor ve třetí kapitole recenzované publikace. Podle názoru autorek to, zda bude považován za biometrický údaj, bude záviset na okolnostech každé posuzované situace. Velmi dobře vystihují tzv. facial recognition. V šesti bodech vymezují ve smyslu čl. 5 odst. 1 nařízení GDPR zásady provozu kamerového systému a na jejich základě formulovaly základní okruhy otázek, na něž by si měl provozovatel odpovědět. Byť je většina textu podkapitoly rozebírána v návaznosti na nařízení GDPR, neobsahuje závěry, zda se jedná o situace, kdy bude kamerový systém biometrickým údajem a kdy již nikoliv. V jedné z podkapitol se článek věnuje rozboru čl. 35 GDPR a posouzení vlivu na ochranu osobních údajů. Informační povinnost na základě nařízení GDPR zohledňují v pěti bodech, které by měla obsahovat každá informační tabulka k označení monitoringu daného prostoru, a zároveň vymezují informace o skutečnostech dotčených osob v souladu s čl. 13 GDPR.

 

Poslední kapitola pojednává o zvláštním právním rámci vztahujícímu se k monitoringu zaměstnanců na pracovišti, jenž musí splňovat právní základ stanovený pro zpracování osobních údajů podle čl. 6 odst. 1 písm. f) nařízení GDPR, kdy při kontrolním mechanismu nesmí být nepřiměřeným způsobem zasahováno do soukromí zaměstnance. Zaměstnanec musí být obeznámen o zavedení kontrolního mechanismu, přičemž autorky se detailněji zabývají kamerovým systémem a docházkovým systémem. I přes veškeré argumenty z českého prostředí autorky nedoporučují zavádění systému evidence docházky s biometrickými údaji, neboť dochází k narušení vztahu mezi zaměstnavatelem a zaměstnancem.

 

Ve své podstatě lze publikaci Biometrické osobné údaje podľa GDPR (biometrický podpis, kamerový záznam) označit za vcelku zdařilý počin ohledně úvodu do biometrických údajů ve světle nařízení GDPR. Publikace představuje ucelený text jak o biometrických údajích obecně, tak rovněž ve vztahu k biometrickému podpisu, kamerovému systému a v oblasti docházkových systému v zaměstnání a na pracovišti. Nicméně jak již bylo uvedeno výše autorky používají místy nepřesnou terminologii, nerozlišují mezi jednotlivými pojmy a považují je za synonyma. Bohužel v převážné většině publikace neobsahuje hlubší zamyšlení nad danou problematikou v kontextu biometrických údajů, jak by se dalo očekávat u publikace takového typu. S ohledem na název publikace nelze přehlédnout skutečnost, že ani v rámci podkapitoly věnující se jednotlivým biometrickým údajům nejsou uvedeny a vymezeny další biometrické údaje, se kterými se lze v praxi setkat, a autorky se omezily pouze na vybrané biometrické údaje, které však bez jakéhokoliv odůvodnění považují za nejčastější. Celá publikace se tak zabývá biometrickými údaji spíše povrchově.

Na druhé straně věřím, že jako úvod do problematiky biometrických údajů a nařízení GDPR poslouží jako dobrý odrazový můstek a cenný zdroj základních informací o biometrických údajích.

 

Mgr. Veronika Skalická, autorka působí jako doktorandka na Katedře trestního práva Právnické fakulty Masarykovy univerzity v Brně

 

---

[1] Nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=EN (dále jen „GDPR“)

[2] MATEJKA, Ján, KRAUSOVÁ, Alžběta, GÜTTLER, Vojen. Biometric data and its specific legal protection. Praha: Institute of State and Law of the Czech Academy of Sciences, [2020]. ISBN 978-80-87439-43-2.

[3] MATEJKA, Ján, KRAUSOVÁ, Alžběta, GÜTTLER, Vojen. Biometrické údaje a jejich právní režim. Revue pro právo a technologie. [Online]. 2018, č. 17, str. 91–129. Dostupné z: https://journals.muni.cz/revue/article/view/8801

[4] FIALOVÁ, E. Biometrické údaje ve zdravotních aplikacích. Journal of Medical Law and Bioethics. vol. 8, no 3, 2018, ISSN 1804-8137. Dostupné z: http://medlawjournal.ilaw.cas.cz/index.php/medlawjournal/article/view/174/145