Technologie rozpoznávání obličeje na letištích: Stanovisko EDPB, metodika ÚOOÚ a dopad nařízení EU o umělé inteligenci

28. 12. 2024

Evropský sbor pro ochranu osobních údajů (EDPB) vydal dne 24. 5. 2024 Stanovisko 11/2024 o používání rozpoznávání obličeje k zefektivnění pohybu cestujících na letištích a jeho souladu s čl. 5 odst. 1 písm. e) a f) a články 25 a 32 nařízení GDPR.[1] Tento článek zkoumá právní rámec týkající se využívání FRT na letištích, zohledňuje doporučení EDPB a zabývá se rovněž širšími důsledky pro ochranu údajů a soukromí, včetně možného dopadu nařízení EU o umělé inteligenci. Podle GDPR jsou biometrická data, včetně dat z rozpoznávání obličeje, klasifikována jako citlivé osobní údaje a podléhají přísným podmínkám zpracování. Článek 9 GDPR zakazuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby, pokud nejsou splněny specifické podmínky, jako je získání výslovného souhlasu subjektu údajů.[2]

Nová právní regulace kryptoměn a zpracování osobních údajů

28. 1. 2024

Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv (Markets in Crypto Assets Regulation, MiCA), které představuje zcela nový právní rámec pro dosud komplexně neregulované odvětví kryptoaktiv v EU, bylo dne 9. června 2023 zveřejněno v Úředním věstníku Evropské unie.[1] Účinnost nabyde zčásti 30. června 2024 a zčásti 30. prosince 2024. K posledně uvedenému datu nabyde účinnosti i Nařízení č. 2023/1113 ze dne 31. května 2023, o informacích doprovázejících převody peněžních prostředků a některých kryptoaktiv[2] (Transfer of Funds Regulation, TFR). Informace doprovázející transakce Na základě TFR budou muset kryptografické transakce v EU obsahovat identifikační údaje bez ohledu na hodnotu transakce. Poskytovatelé služeb v oblasti kryptoaktiv („CASP“), jako jsou směnárny, burzy a další společnosti, budou pak muset shromažďovat osobní údaje o majitelích veřejných adres, na které jsou zasílány kryptoměny. Tím bude také definován právní titul zpracování osobních údajů pro tyto účely. Preambule TFR (recitál 19) uvádí, že zpracování pro komerční účely mimo rámec GDPR je přísně zakázáno, a upozorňuje rovněž na zpracování osobních údajů ve veřejném zájmu, který je představován bojem proti legalizaci příjmů z trestné činnosti a financování terorismu „AML“).  Konkrétní požadavky a povinnosti v oblasti AML jsou pak rozpracované dále v textu TFR. Poskytovatelům služeb souvisejících s kryptoaktivy vč. […]

Přeshraniční předávání osobních údajů v rámci koncernu 

28. 7. 2023

V naší globalizované společnosti dochází k velkému množství přeshraničních přenosů osobních údajů, které jsou navíc usnadněny elektronickou komunikací. Ta však přináší i svá úskalí, protože sdílení dat může probíhat i jakoby mimoděk.  Nejeden z nás si ani nemusí uvědomit, že pouhým uložením dat do sdílené složky či přidáním dalšího adresáta do kopie e-mailu může přenést osobní údaje do států, které nezaručují srovnatelnou ochranu osobních údajů dle požadavků nařízení GDPR.[1] Je třeba si včas uvědomit, že jím poskytovaná ochrana „cestuje“ spolu s osobními údaji. Pravidla na jejich ochranu tak platí i nadále bez ohledu na to, kde se nacházejí nebo komu jsou zpřístupněny.    Skupina společností představuje korporátní strukturu, která má úplně anebo alespoň částečně totožnou vlastnickou strukturu. Nejedná se ovšem o konkrétní právní pojem, se . . .

Využívání služeb společnosti Google a ochrana osobních údajů: Co je Google Analytics a kdo je jeho poskytovatel?

28. 10. 2022

Google Analytics je nástroj od společnosti Google, který umožňuje vlastníkům webových stránek získávat statistická data o uživatelích svého webu. Díky této službě je možné sledovat aktuální i historickou návštěvnost, vlastnosti a chování uživatelů atd. Samotná provádění analýzy provozu webových stránek lze obvykle vymezit jako oprávněný zájem provozovatele či poskytovatele obsahu webových stránek. Ovšem technologie umístěná v USA představuje pro evropské orgány pro ochranu údajů vážný problém, a to v návaznosti na rozhodnutí Soudního dvora EU ve věci Schrems II,[1] na jehož základě došlo ke zrušení rozhodnutí Evropské komise o tzv. „Privacy Shield“ režimu, dle nějž bylo možné předávat osobní údaje do USA kvůli rovnocennosti jejich ochrany. Tímto rozsudkem bylo také zdůrazněno, že správce či zpracovatel z EU se při předávání osobních údajů do třetích zemí nemůže omezit . . .

Dynamický biometrický podpis

28. 6. 2022

Část druhá: Spojení s listinou a titul zpracování Spojení s listinou V prvním díle se autor zabýval otázkou, zda je DBP vůbec biometrickým údajem. Nyní přichází na řadu téma jeho spojení s podepisovanou listinou a vhodným titulem zpracování ve smyslu čl. 6., resp. čl. 9 GDPR. Podaný ve svém pojednání věnovaném prostému a zaručenému elektronickému podpisu dochází k závěru,[1] že z právního hlediska je dynamický biometrický podpis pouze „prostým“ elektronickým podpisem, byť se někteří autoři domnívají, že jde o podpis „zaručený“. Nesplňuje však požadavky čl. 26 nařízení eIDAS a s podepisující osobou není spojen jednoznačně, ale jen s určitou, byť velmi vysokou pravděpodobností. Podaný však zejména poukazuje na to, že dynamický biometrický podpis není vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní dův . . .

Dynamický biometrický podpis

28. 5. 2022

Část první: Jedná se o biometrický údaj?     Na českém trhu finančních služeb si získal popularitu tzv. dynamický biometrický podpis (DBP), který se možná stal obětí svého názvu. Je z něj totiž na první pohled patrné, že se jedná o osobní údaj zvláštní kategorie. Je tomu ale skutečně tak? Podstata biometrie DBP je třeba odlišovat od prostého podpisu vytvořeného na tabulce, který je pouhým obrázkem, jaký lze nakreslit na jakémkoli dotykovém displeji. Aby však mohl být podpis označen jako biometrický, musí obsahovat aktivní biometrické charakteristiky, které nevznikají náhodně, ale mají dynamický charakter vycházející z fyziologických a biomechanických schopností a z procesu individuálního učení.[1] Senzory podepisovacího zařízení mohou měřit tlak pera, rychlost, náklon atd., a tudíž lze zachytit podobné charakteristiky podpisu jako při zkoumání fyzického podpisu na papíře. Není však zřejmé, zda lze tyto biometrické charakteristiky technicky relevantním způsobem zaznamenat a zejména rekonstruovat. Nařízení GDPR[2] biometrické údaje definuje jako „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.“[3] Lze mít za to, že je-li identita podepisující osoby předem známa, nedochází ke zpracování biometrických údajů za účelem „jedinečné identifikace fyzické osoby,“ kterou až na výjimky uvedené […]