Část první: Jedná se o biometrický údaj?
Na českém trhu finančních služeb si získal popularitu tzv. dynamický biometrický podpis (DBP), který se možná stal obětí svého názvu. Je z něj totiž na první pohled patrné, že se jedná o osobní údaj zvláštní kategorie. Je tomu ale skutečně tak?
Podstata biometrie
DBP je třeba odlišovat od prostého podpisu vytvořeného na tabulce, který je pouhým obrázkem, jaký lze nakreslit na jakémkoli dotykovém displeji. Aby však mohl být podpis označen jako biometrický, musí obsahovat aktivní biometrické charakteristiky, které nevznikají náhodně, ale mají dynamický charakter vycházející z fyziologických a biomechanických schopností a z procesu individuálního učení.[1] Senzory podepisovacího zařízení mohou měřit tlak pera, rychlost, náklon atd., a tudíž lze zachytit podobné charakteristiky podpisu jako při zkoumání fyzického podpisu na papíře. Není však zřejmé, zda lze tyto biometrické charakteristiky technicky relevantním způsobem zaznamenat a zejména rekonstruovat.
Nařízení GDPR[2] biometrické údaje definuje jako „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.“[3] Lze mít za to, že je-li identita podepisující osoby předem známa, nedochází ke zpracování biometrických údajů za účelem „jedinečné identifikace fyzické osoby,“ kterou až na výjimky uvedené v čl 9 odst. 2 zakazuje (na rozdíl od pouhého potvrzení identifikace) čl. 9 odst. 1 GDPR. Dochází tak k pouhému potvrzení identifikace, o jehož jedinečnosti lze mít na rozdíl od daktyloskopických údajů zásadní pochybnosti. Zákaz využití biometrických údajů se neuplatní tehdy, je-li naplněn některý ze specifických účelů dle čl. 9 odst. 2 GDPR, tedy v tomto případě zejména nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků dle písmene f).
Diskutovaná forma podpisu není pro účely identifikace přípustná u finančních institucí (a jiných povinných osob), na které se vztahuje AML zákon.[4] Ten pro účely identifikace umožňuje pouze využití prostředků dle § 8, resp. elektronických prostředků dle § 8a. I jiné subjekty však jen stěží budou DBP používat právě pro identifikaci. I pokud vycházíme z domněnky, že se o biometrický údaj jedná pak, pokud DBP nebude využíván pro vykonání identifikace, nejedná se dle názoru autora o zpracování osobních údajů zvláštního určení, neboť GDPR jej spojuje výlučně s jedinečnou identifikací,[5] nikoli autentizací.[6] Lze se však setkat i s názory, které provedení identifikace a autentizace vnímají promiscue.[7] Autor je však toho názoru, že pokud jsou biometrické údaje zpracovávány za účelem „pouhé“ autentizace, neboť identifikace fyzické osoby byla provedena jinak (např. zápisem údajů z občanského průkazu), čl. 9 se vůbec nemusí brát v úvahu a s biometrickými údaji lze zacházet jako s jakýmikoliv běžnými osobními údaji. Zpracování bude v takovém případě založeno na některém z právních titulů čl. 6 GDPR.
Pro účely dalšího zkoumání je nejprve třeba rozlišovat elektronické podpisy, které se získávají prostřednictvím podpisu na touchpadu či podobném záznamovém zařízení od digitálních podpisů, které mohou představovat kryptografický mechanismus ověřování. Kryptografický podpis je vytvořený pomocí dat určených k podepisování, např. elektronického klíče, a pomocí algoritmů je zkombinován s obsahem podepisovaného dokumentu. Důvěryhodnost kryptografického podpisu se odvozuje od certifikátu, jehož držitelem je poskytovatel služeb vytvářejících důvěru. DBP je založen na tom, že touchpad zaznamenává informace, jako jsou rychlost, tlak, velikost či podobná specifika podpisu. Získaná data pak mohou být považována za biometrické údaje, které byly zaznamenány na základě technického zpracování fyzických, fyziologických nebo jiných údajů fyzické osoby. Na rozdíl od kryptografického podpisu však není přímo spojen s listinou, která má být podepsána. Argumenty obhajující autenticitu DBP vycházejí mj. ze závěru, že obdobné charakteristiky podpisu lze získat ze znaleckého zkoumání podpisu na papíře, čímž je možné určit, že došlo k pouhému napodobení vzhledu podpisu jeho padělatelem. Smejkal uvádí, že pravost vlastnoručního podpisu je v případě sporu prokazována znalecky, tj. znalcem z oboru písmoznalectví, přičemž u dynamického biometrického podpisu má písmoznalec k dispozici data vytvářející tzv. biometrickou stopu, což poskytuje možnost ověření pravosti podpisu s daleko vyšší mírou jistoty nežli u podpisů na papíru. Taková data jsou dle jeho tvrzení pro písmoznalce ideálním zdrojem informací ve srovnání se situací, kdy musí vycházet pouze z porovnávání dvou krátkých textů, tj. podpisů na papíru. Signpad totiž kromě obrázku snímá i „neviditelné“ dynamické vlastnosti tohoto podpisu, spojené s typickým chováním podepisující se osoby – časy, rychlosti, zrychlení apod. u jednotlivých fragmentů, z nichž podpis sestává. Písmoznalec může údajně v „auditním programu“ přímo vidět, jak byl podpis danou osobou vytvořen, a detailně zkoumat jednotlivé fragmenty podpisu vzorkované po milisekundách. Smejkal rovněž uvádí, že bylo prokázáno, že bez znalosti skutečného průběhu vytváření podpisu je tzv. dynamický biometrický podpis nepadělatelný a po jeho zobrazení za účelem možnosti dlouhotrvajícího nácviku konkrétního podpisu byl úspěch při napodobování zcela ojedinělý.[8]
Únik zaznamenaných dat představujících DBP bude mít obdobně negativní následky nehledě na to, zda byla použita pro identifikaci či autentizaci. Nelze je však ztotožnit s únikem skutečně jedinečných a vypovídajících biometrických údajů či listiny s vlastnoručním podpisem. Z právního pohledu ovšem nelze usuzovat, zda taková data budou jakkoli využitelná a zda na jejich základě půjde ztotožnit konkrétní osobu či tato data nějak zneužít. Jsou totiž zaznamenány ve formě určitého kódu. Informace, které takto uniknou, nemusejí vůbec představovat osobní údaj, natož údaj zvláštního určení představující skutečné biometrické charakteristiky. Lze sice akceptovat technický závěr, že autentický styl tvorby dynamického podpisu dokáže s velkou pravděpodobností určit jeho autora, ovšem nelze z toho vyvodit právní závěr, že vytvořený datový záznam představuje biometrický údaj ve smyslu čl. 4 odst. 14 GDPR.
Členské státy mohou na GDPR navázat určitou legislativní nadstavbou a měnit či doplňovat tak některé části nařízení. I přes přímou aplikovatelnost GDPR tak existuje značná heterogenita, která mohla stát i u zrodu názvu dynamického biometrického podpisu. Některé státy pak zpracování biometrických údajů pro tento účel nepovolují, což znamená, že i podpis zaznamenaný technikou umožňující snímání autentických dat není ničím jiným než obrázkem podpisu. V důsledku toho může být podpis v jedné zemi platný, ale v jiné zemi neplatný buď proto, že neobsahuje biometrické údaje, nebo proto, že je obsahuje, a v důsledku toho se jedná o nezákonný podpis.[9] V České republice nepodléhá využívání tohoto podpisu žádné specifické regulaci. Zákon č. 110/2019 Sb., o zpracování osobních údajů, ve svých přechodných ustanoveních pouze výslovně uvádí, že citlivým údajem (tedy nyní údajem zvláštního určení), se rozumí pouze biometrický údaj zpracovávaný za účelem jedinečné identifikace fyzické osoby.[10]
Obsoletní stanovisko ÚOOÚ
ÚOOÚ se k dynamickému biometrickému podpisu vyjádřil ještě v době účinnosti zákona č. 101/2000 Sb., o ochraně osobních údajů.[11] Ve svém stanovisku uvádí: „Podpis lze považovat za jakousi jedinečnou osobní značku člověka, kterou nejen v závazkových vztazích projevuje svoji vůli, tj. vyjadřuje svůj souhlas s danou smlouvou. Jak na základě vlastnoručního podpisu na papír, tak i dynamického biometrického podpisu s použitím dalších údajů, kterými správce údajů ve smluvních vztazích obvykle disponuje, je podepsaná osoba bezesporu identifikovatelná.“ K tomu je ovšem třeba dodat, že ačkoli podpisu v jakékoli formě nelze upřít, že je osobním údajem, nelze jej bez dalšího označit za údaj biometrický. Subjekt osobních údajů je identifikovatelný na základě široké škály osobních údajů, ze kterých lze složit jakousi mozaiku vedoucí k přesvědčivému určení identity dané osoby. Ovšem to ještě neznamená, že jde o jedinečné údaje, na jejichž základě lze usuzovat, že jsou spojeny s genetickou jedinečností každého člověka, která je podstatou biometrie.
ÚOOÚ v citovaném stanovisku dále uvádí, že při užívaní technologie biometrického podepisování, na rozdíl od klasického podpisu na papír, je automaticky speciálním zařízením (tablet, signpad) již při podepsání nejdříve snímaná a poté zaznamenaná grafická podoba podpisu, přičemž jsou současně vygenerovány a uloženy dynamické parametry pohybu ruky podepisující se osoby, to vše za účelem, aby údaje mohly být v případě potřeby dále použity. Údaje jsou většinou současně převedeny do elektronického formátu v určitém např. číselném vyjádření, přičemž zůstává zachována i grafická podoba vlastnoručního podpisu. ÚOOÚ dále právě v reflexi tehdejší právní úpravy uvádí, že dle zákona č. 101/2000 Sb. je citlivý údaj definován jako informace týkající se identifikované či identifikovatelné fyzické osoby, která současně spadá do některé ze zvláštních kategorií osobních údajů, kam se mimo jiné řadí i biometrické údaje umožňující přímou identifikaci nebo autentizaci konkrétního člověka. S odkazem na to uvádí, že při zpracování citlivých údajů je nutné aplikovat přísnější režim, protože právě takové zpracování může způsobit mnohem závažnější zásah do soukromí subjektu údajů, než je tomu v případě zpracování „obyčejných“ osobních údajů. ÚOOÚ dále uvádí, že písmo a stejně tak i podpis, ať jsou zachyceny v jakékoli podobě, lze považovat za jedinečný znak každého jednotlivce. Podrobnou analýzou vlastnoručního podpisu je možné zpracovávat nejrůznější informace o pohybu ruky v době pořízení podpisu, jako jsou například sklon písma, tlak ruky, rychlost psaní, velikost písma apod., z nichž pak znalec dokáže tuto osobu s větší či menší mírou pravděpodobnosti identifikovat nebo autentizovat. Z toho důvodu pak dle ÚOOÚ takové informace, resp. dynamické rysy odpovídají definici biometrického a tedy i citlivého údaje ve smyslu zákona 101/2000 Sb. Klasický podpis zachycený na papír, a stejně tak i dynamický biometrický podpis údajně obsahují odpovídající sumu informací (sklon písma, tlak a rychlost psaní atd.), a jsou tedy nositeli biometrických údajů.
ÚOOÚ však rovněž dodává, že samotné pořizování a uchovávání podpisu bez jeho využití jako citlivého údaje nelze bez dalšího považovat za zpracování citlivých údajů. K takovému zpracování dochází až tehdy, pokud je podpis např. podroben písmoznalecké analýze za účelem ověření jeho pravosti v případě sporu. O zpracování citlivých údajů obsažených v podpisu se jedná, pokud tyto údaje jsou správcem aktivně využívány. ÚOOÚ usuzuje, že v případě dynamického biometrického podpisu dochází ke zpracování citlivých údajů automaticky (což však nemusí být pravda). Dynamické prvky jsou totiž speciální technologií cíleně vygenerovány a zachyceny jako přidaná hodnota k samotnému grafickému znázornění podpisu, takže grafické znázornění a biometrické údaje existují vedle sebe a v této podobě jsou s nimi prováděny i následné operace. Zpracování citlivých údajů se tak při použití technologie biometrického podepisování lze vyhnout pouze v případě, kdy zařízení zaznamená pouze grafickou podobu podpisu, tedy pokud nedojde ke zpracování biometrických údajů. V případech, kdy budou správci prostřednictvím technologie vytvářet podpisové vzory a databáze těchto vzorů, je dle ÚOOÚ z podstaty věci zřejmé, že musí docházet i ke zpracování citlivých údajů.
Aplikujeme-li však na tento názor ÚOOÚ argument ad absurdum, dojdeme k závěru, že biometrickým údajem je jakákoli ruční práce, kterou lze připisovat určitému autorovi. Dynamický biometrický podpis je dle názoru autora co do autenticity (nikoli umělecké hodnoty) srovnatelný např. s obrazem či sochou, tedy s jedinečným autorským dílem; autora lze podle něho identifikovat, ovšem nelze jej ztotožňovat s biometrií. I autenticitu autorského díla lze prokázat na základě znaleckého zkoumání, které sice bude používat odlišné metody, ovšem bude mít k dispozici mnohem větší množství unikátních znaků, na základě kterých lze autora určit. To v dnešní době platí i o uměleckých dílech, která jsou vytvořena elektronickými prostředky. Autor tak došel k závěru, že stanovisko ÚOOÚ je ve vztahu k aktuální platné právní úpravě obsoletní, což později potvrdila i kontrolní praxe úřadu, o které bude pojednáno v druhé části tohoto článku. Bylo by tedy na čase přistoupit k jeho revizi zohledňující aktuální stav platného práva, tedy nejen GDPR a zákon o zpracování osobních údajů, ale i eIDAS a zákon o službách vytvářejících důvěru pro elektronické transakce.
Dle názoru autora není dynamický biometrický podpis biometrickým údajem, který by autentickou formou zachycoval jedinečnost identity svého původce. Představuje sice možný zdroj biometrických údajů, ovšem autenticita jejich zaznamenání a uchování je sporná, neboť je pouze zprostředkovaná, a biometrický údaj není rekonstruovatelný. Biometrický podpis nemá neměnný a nenapodobitelný charakter, jako je například otisk prstu nebo snímek oční sítnice. Nelze ani předpokládat, že kvůli materiálovým odlišnostem touchpadu a speciálního pera (stylusu) bude podepisující osobou vytvořen ve stejném náklonu a stejným tlakem a rychlostí, jako jej obvykle dělá na papíře.
„Tento text byl zpracován v rámci projektu studentského vědeckého výzkumu „Vývoj finančněprávní a trestněprávní regulace pod vlivem normotvorby Evropské unie“ realizovaného v letech 2020 – 2022 na Právnické fakultě Univerzity Karlovy, SVV 260 493/2020.“
Alexander Kult
Právnická fakulta Univerzity Karlovy, katedra finančního práva
[1] RAK, Roman, a kol. Biometrie a identita člověka ve forenzních a komerčních aplikacích. Praha: Grada Publishing a.s., 2008. ISBN 9788024763927, s. 450-451.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[3] GDPR, čl. 4 odst. 14.
[4] Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.
[5] GDPR, čl. 9 odst. 1.
[6] Srov. komentář Nulíček k čl. 4 odst. 14: „…V současnosti se v zahraniční i tuzemské literatuře objevuje názor, že do zvláštních kategorií osobních údajů regulovaných v čl. 9 Nařízení je možné biometrické údaje zařadit právě pouze v případě identifikace, nikoliv v případě pouhé autentizace. Více k této problematice v komentáři k čl. 9 Nařízení.“
k čl. 9 odst. 1: „Názor, že omezení dle čl. 9 Nařízení by se mělo vztahovat pouze na situace, kdy dochází ke zpracování biometrických údajů za účelem identifikace, avšak nikoliv autentizace, sdílejí uznávaní odborníci jak u nás, tak v zahraničí. Koncepční vyřešení této otázky je však opět možné očekávat až v horizontu několika následujících let.“
[7] srov. UŘIČAŘ, RÁMIŠ a kol. Obecné nařízení o ochraně osobních údajů. 1. vydání. Praha: C. H. Beck, 2021, s. 208, marg. č. 23.: „Nicméně ÚOOÚ zveřejnil informaci o změně v hodnocení úrovně právní ochrany biometrických údajů. ÚOOÚ v tomto svém vyjádření uvádí, že již nebude rozlišovat mezi technickými řešeními dle stanoviska ÚOOÚ 3/2009, neboť GDPR uchovávání biometrických šablon a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů. Domníváme se však, že GDPR toto nestanoví, naopak považuje za biometrické pouze takové údaje, které umožňují nebo potvrzují jedinečnou identifikaci, což se v případě autentizace zpravidla neděje.“
[8] SMEJKAL, Vladimír. Kryptografický a dynamický biometrický podpis podle platné právní úpravy. Právní rozhledy 10/2019. In beck-online.cz [online]. 2019 [cit. 2022-03-29]. Dostupné z: https://www.beck-online.cz/bo/chapterview-document.seam?documentId=nrptembrhfpxa4s7geyf6427gm2dg.
[9] HÖLBL, Marko a kol. Data Protection Heterogeneity in the European Union. In Scopus.com ISSN 2076341, DOI 10.3390/app112210912 [online]. 2021-11-18 [cit. 2022-03-29]. Dostupné z: https://www.scopus.com/record/display.uri?eid=2-s2.0-85119840785&origin=resultslist&sort=plf-f&src=s&st1=biometric+gdpr&sid=caac4de39bb697b2f4df44eea6416cb4&sot=b&sdt=b&sl=29&s=TITLE-ABS-KEY%28biometric+gdpr%29&relpos=0&citeCnt=0&searchTerm=&featureToggles=FEATURE_NEW_DOC_DETAILS_EXPORT:1.
[10] Zákon č. 110/2019 Sb., ust. § 66 odst. 6.
[11] ÚOOÚ, Stanovisko č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů.