Po několika bezpečnostních problémech v mateřských školách začali zřizovatelé hromadně nakupovat pro vstup do zařízení systémy založené na otiscích prstů. Tyto systémy byly propagovány jako jednoduché řešení bezpečnosti ve školách, aniž by zřizovatelé nebo ředitelé škol hned od počátku řešili související oblast ochrany osobních údajů.
V posledních letech se výrazně rozšiřuje technická i finanční dostupnost technologických řešení využívajících biometrické údaje osob, zejména otisky prstů. Takové systémy jsou využívány nejrůznějšími subjekty, včetně mateřských škol, ve kterých mají sloužit pro přístup rodičů (resp. obecně osob, které děti vyzvedávají) a zaměstnanců do prostor školky. Že se nejedná o věc zcela novou, dokládá i kontrolní činnost Úřadu pro ochranu osobních údajů (ÚOOÚ)[1].
Pro pověřence, který vykonává svou činnost pro mateřskou školu, je zásadní, aby se o úmyslu takový systém zavést dozvěděl co nejdříve. Pouze ve fázi záměru lze totiž bez zbytečně vynaložených nákladů vyhodnotit, zda z hlediska předpisů upravujících ochranu osobních údajů, tedy Obecného nařízení[2], je vůbec možné systém provozovat, a pokud ano, za jakých podmínek.
Na zpracování otisků prstů je nutno klást zvýšené nároky, neboť se jedná o zvláštní kategorii osobních údajů dle čl. 9 Obecného nařízení, a to bez ohledu na to, že je v systému otisk prstu převáděn do číselné podoby (tzv. hash).
Problematické prvky zpracování biometrických údajů
Zpracování biometrických údajů s sebou obecně přináší řadu problematických prvků[3]. Předně je třeba uvést, že tyto systémy samy o sobě v žádném případě větší bezpečnost nezajišťují. Biometrická identifikace či autentizace je založena na pravděpodobnosti, a proto vždy existuje i určitá míra chybovosti. Současně prokazatelně existují postupy a techniky, které umožňují obejít biometrické autentizační systémy a předstírat identitu jiné osoby. Navíc, na rozdíl například od systémů založených na heslu, jednou kompromitovaná biometrická informace nemůže být změněna nebo zrušena. Neoprávněný přístup k biometrickým údajům v systému také může umožnit nebo ulehčit přístup k dalším systémům užívajícím tytéž biometrické údaje. Všechny tyto skutečnosti musí správce v případě rozhodování o použití systému vzít v úvahu.
K podmínkám, za nichž lze obdobné systémy zavést, se vyjádřil také ÚOOÚ. Podle něj je nezbytné posoudit přiměřenost konkrétního řešení a rizik s ním spojených, vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními a také průběžně posuzovat účinnost systému[4].
Posouzení před zavedením systému
Prvním krokem při zvažování záměru zavést biometrický systém musí být jeho posouzení z pohledu základních zásad zpracování osobních údajů dle čl. 5 Obecného nařízení. Zde je zejména nutno zdůraznit zásadu zákonnosti, korektnosti a požadavek, aby stanovený účel zpracování byl legitimní, resp. aby zpracováním bylo možno stanoveného účelu dosáhnout. Sledovaný účel např. nebude dosažen, pokud (jak zjistil ÚOOÚ v jedné z provedených kontrol) bude vstup do budovy pomocí otisku prstu umožněn nejen identifikované osobě, ale současně s ní i dalším, již bez identifikace[5]. V návaznosti na to konstatoval, že zpracování otisků prstů nebylo nezbytné pro stanovený účel zpracování, tedy zabezpečení vstupu do budovy (v jednom z případů ÚOOÚ zpracování pro tento účel akceptoval poté, co školka doložila dodatečné opatření spočívající v tom, že na vstup do příslušných prostor současně dohlížel i zaměstnanec školky[6]), resp. že skutečným účelem zpracování bylo „usnadnění vstupu osobám, které zvolí tuto metodu a poskytnou otisk prstu“[7].
Jediným použitelným právním titulem pro zpracování otisků prstů v posuzovaném případě je souhlas dotčených osob, který musí splňovat podmínky, které na něj Obecné nařízení klade[8]. Osoba tedy musí mít možnost souhlas neudělit a nebýt tím nijak poškozena a zejména musí být řádně informována o účelu zpracování. Nesmí být tedy například vytvářen mylný dojem, že zpracování bude sloužit ke zvýšení bezpečnosti, pokud tomu tak ve skutečnosti není. Splnění podmínek pro řádné udělení souhlasu je přitom správce povinen kdykoli prokázat.
Odpovědnost za zavedený systém nese správce
Dalším problematickým aspektem je, že správce odpovídá za kompletní zvolené technické řešení. To platí bez ohledu na to, že systém dodá třetí strana a správce v podstatě nemůže (s ohledem na své technické možnosti) prověřit např. jeho zabezpečení. Proto je třeba klást vysoké požadavky na smlouvy s dodavateli, aby pokrývaly i případné nároky, které by vůči nim mohly vzniknout (nejen) při případném porušení povinností při zpracování osobních údajů.
V případě, že bude dodavatel při zpracování v postavení zpracovatele[9], je dále třeba zajistit, aby poskytoval dostatečné záruky, že zpracování bude odpovídat požadavkům Obecného nařízení[10]. Ověření této skutečnosti je povinností správce; splnit ji může například provedením průzkumu veřejně dostupných zdrojů, vyžádáním referencí apod. Současně je třeba uzavřít smlouvu o zpracování se všemi stanovenými náležitostmi[11].
Dále je správce povinen posoudit, zda jím zamýšlené zpracování podléhá posouzení vlivu na ochranu osobních údajů[12], a pokud ano, posouzení řádně provést. Musí také přijmout technická a organizační opatření odpovídající rizikům, která zpracování pro subjekty údajů přináší (a jejich přijetí kdykoli doložit).
Po rozhodnutí o provozování systému zpracovávajícího otisky prstů je nutné se soustředit na další základní zásady zpracování dle čl. 5 odst. 1 Obecného nařízení. Je tedy třeba nastavit procesy, které zajistí, že osobní údaje budou bez zbytečného odkladu smazány, např. v případě, že dítě ukončí docházku nebo některé z osob skončí oprávnění k jeho vyzvedávání. V systému by se neměly hromadit ani údaje shromážděné jeho provozem, tj. informace o tom, kdo a kdy jeho prostřednictvím do školky vstoupil.
Ochrana osobních údajů je soustavný proces
Závěrem je třeba zdůraznit, že ochrana osobních údajů je soustavný proces – provoz systému bude třeba průběžně vyhodnocovat ve všech relevantních kritériích. Dále platí, že správce unese svou odpovědnost za zpracování[13] jen tehdy, jestliže veškeré své kroky (které jsou popsány výše) řádně dokumentuje. A nakonec obecné pravidlo ochrany osobních údajů, které tím spíš platí u jejich zvláštních kategorií: Nejlépe ochráníte osobní údaje tím, že je vůbec nebudete zpracovávat!
Vanda Foldová
Autorka je zaměstnankyně Ministerstva financí, kde se věnuje ochraně osobních údajů a svobodnému přístupu k informacím.
[1] https://www.uoou.cz/kontrola-zpracovani-osobnich-udaju-pro-ucely-vstupu-do-materske-skoly-materska-skola-hellichova/ds-4949/archiv=0&p1=4986; https://www.uoou.cz/materska-skolka-napajedla-zpracovani-osobnich-udaju-v-souvislosti-s-umoznenim-pristupu-do-budovy/ds-5185/archiv=0&p1=5649
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[3] viz například materiál Evropského inspektora ochrany údajů „Čtrnáct nedorozumění ohledně biometrické identifikace a autentizace“, dostupný např. na https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=43934
[4] https://www.uoou.cz/upozorneni-na-zmenu-v-nbsp-posuzovani-systemu-vyuzivajicich-biometricke-udaje-drive-quot-stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizace-zamestnancu-quot/d-29048
[5] https://www.uoou.cz/kontrola-zpracovani-osobnich-udaju-pro-ucely-vstupu-do-materske-skoly-materska-skola-hellichova/ds-4949/archiv=0&p1=4986
[6] https://www.uoou.cz/materska-skolka-napajedla-zpracovani-osobnich-udaju-v-souvislosti-s-umoznenim-pristupu-do-budovy/ds-5185/archiv=0&p1=5649
[7] https://www.uoou.cz/kontrola-zpracovani-osobnich-udaju-pro-ucely-vstupu-do-materske-skoly-materska-skola-hellichova/ds-4949/archiv=0&p1=4986
[8] V případě zpracování zvláštních kategorií osobních údajů se jedná o požadavky na výslovný souhlas dle čl. 9 odst. 2 ve spojení s čl. 4 bod 11, resp. čl. 7 Obecného nařízení.
[9] Závěr, zda dodavatel je současně zpracovatelem, nelze učinit obecně, ale třeba v konkrétních případech vyhodnotit jeho úkoly, které můžou vyplývat jak z uzavřené smlouvy, tak z faktického postupu.
[10] čl. 28 odst. 1 Obecného nařízení
[11] čl. 28 odst. 2 Obecného nařízení
[12] viz čl. 35 Obecného nařízení; vyhodnocení, zda je třeba posouzení provést, se provede dle materiálu ÚOOÚ „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů“, dostupný na https://www.uoou.cz/seznam-druhu-operaci-zpracovani-ne-podlehajicich-pozadavku-na-posouzeni-vlivu-na-ochranu-osobnich-udaju-dpia/ds-5458/archiv=0&p1=5856
[13] viz čl. 5 odst. 2 Obecného nařízení