epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
    • občanské právo
    • obchodní právo
    • insolvenční právo
    • finanční právo
    • správní právo
    • pracovní právo
    • trestní právo
    • evropské právo
    • veřejné zakázky
    • ostatní právní obory
  • ZÁKONY
    • sbírka zákonů
    • sbírka mezinárodních smluv
    • právní předpisy EU
    • úřední věstník EU
  • SOUDNÍ ROZHODNUTÍ
    • občanské právo
    • obchodní právo
    • správní právo
    • pracovní právo
    • trestní právo
    • ostatní právní obory
  • AKTUÁLNĚ
    • 10 otázek
    • tiskové zprávy
    • vzdělávací akce
    • komerční sdělení
    • ostatní
    • rekodifikace TŘ
  • E-shop
    • Online kurzy
    • Online konference
    • Záznamy konferencí
    • Další vzdělávaní advokátů
    • Konference
    • Roční předplatné
    • Monitoring judikatury
    • Publikace a služby
    • Společenské akce
    • Advokátní rejstřík
    • Partnerský program
  • Advokátní rejstřík
  • Více
    27. 6. 2019
    ID: 109593upozornění pro uživatele

    Konec dynamického biometrického podpisu v ČR?

    Používání dynamického biometrického podpisu („DBP“) namísto tradičního podpisu na papír je v České republice stále populárnější. Tento způsob podepisování využívají např. finanční instituce či telefonní operátoři. Důvodem je zejména urychlení smluvních procesů, úspora nákladů a především vyšší úroveň autenticity dokumentů podepsaných DBP.

    Cílem tohoto článku je zhodnotit, nakolik je uvedený trend ohrožen aktuálním postojem a rozhodovací praxí Úřadu pro ochranu osobních údajů („Úřad“).

    Co je DBP?

    Zjednodušeně lze říci, že DBP vedle samotné grafické podoby podpisu obsahuje i informace o tom, jak byl podpis vytvořen.

    DBP vzniká snímáním vlastnoručního podpisu s využitím speciálního zařízení (tablet nebo tzv. signpad). Ten zachycuje dynamické vlastnosti podpisu, jako jsou čas, tlak, rychlost, forma a tvar, křivky, celková velikost atd. Uvedené vlastnosti představují biometrickou stopu, která je unikátní pro každého jednotlivce. Oproti běžnému podpisu tak DBP umožňuje lépe ověřit a potvrdit, že dokument skutečně podepsala deklarovaná osoba.

    Reklama
    Nové stavební právo (online - živé vysílání) - 15.2.2023
    Nové stavební právo (online - živé vysílání) - 15.2.2023
    15.2.2023 09:003 025 Kč s DPH
    2 500 Kč bez DPH

    Koupit

    Z právního hlediska je DBP druh elektronického podpisu. Ve smyslu nařízení eIDAS[1] a zákona o službách vytvářejících důvěru pro elektronické transakce[2] se jedná o tzv. prostý elektronický podpis, který je postaven naroveň klasickému vlastnoručnímu podpisu na papír.

    Stejně jako klasický podpis představuje i DBP osobní údaj ve smyslu čl. 4 bodu 1) obecného nařízení o ochraně osobních údajů[3] („GDPR“). Jelikož DBP zachycuje biometrickou stopu podepisující osoby, patří DBP mezi tzv. biometrické údaje ve smyslu čl. 4 bodu 14) GDPR[4].

    Dosavadní postoj Úřadu k DBP

    K DBP se opakovaně vyjadřoval též Úřad. Názory Úřadu ve vztahu k DBP přitom prošly značným vývojem.

    Ve svém stanovisku č. 3/2009 se Úřad nezabýval přímo DBP, ale obecně systémy, které zpracovávají biometrické údaje. Úřad tyto systémy rozdělil na (a) systémy zpracovávající „běžné“ osobní údaje a (b) systémy zpracovávající tzv. citlivé údaje[5], které vyžadují přísnější režim ochrany. Klíčovým hlediskem pro zařazení konkrétního systému do jedné z těchto kategorií byla skutečnost, zda jsou v jeho rámci zpracovávány (i) úplné biometrické údaje nebo (ii) pouze jejich šablony[6]. V prvním případě se podle stanoviska Úřadu jednalo o zpracování citlivých údajů, ve druhém pak o zpracování běžných osobních údajů.

    Stanovisko č. 2/2014 se již zaměřilo na problematiku DBP z pohledu tehdy platného zákona o ochraně osobních údajů[7] („ZOOÚ“). Úřad zde konstatoval, že v případě DBP dochází ke zpracování citlivých údajů. Právním titulem umožňujícím takové zpracování realizovat byl podle Úřadu pouze souhlas dotčené osoby.

    V červnu 2017 Úřad uveřejnil na svých stránkách zprávu s názvem Změna v hodnocení úrovně právní ochrany biometrických údajů[8]. V této zprávě s odvoláním na novou právní úpravu (GDPR) opustil dosavadní dělení systémů s biometrickými údaji, které představil ve svém stanovisku č. 3/2009. Úřad deklaroval, že jakýkoliv systém, který shromažďuje biometrické údaje za účelem identifikace fyzické osoby, bude považovat za systém zpracovávající zvláštní kategorie osobních údajů[9]. Současně Úřad přislíbil, že k biometrickým údajům zveřejní nové stanovisko[10].

    Rozhodnutí Úřadu

    K využití DBP se Úřad vyjádřil i ve svém rozhodnutí z března 2019[11] („Rozhodnutí“). Rozhodnutí bylo vydáno v návaznosti na kontrolu zpracování osobních údajů u finanční instituce („Kontrolovaná osoba“). Ta zpracovávala DBP na základě souhlasů svých klientů. Kontrolovanou osobou stanoveným účelem zpracování DBP bylo uzavření a uchovávání smluvní dokumentace, zjednodušení tohoto procesu a v případě potřeby určení, zda se jedná o podpis té které osoby.

    Úřad v rámci kontroly a navazujícího správního řízení dospěl k závěru, že Kontrolovaná osoba zjevně zpracovávala DBP za účelem jedinečné identifikace klientů, a jednalo se tedy o zpracování zvláštní kategorie osobních údajů. Dále konstatoval, že zpracování DBP není nezbytné k účelům zpracování, které odsouhlasili klienti Kontrolované osoby[12].

    V návaznosti na svou úvahu o nikoli nezbytném zpracování DBP Úřad uzavřel, že Kontrolovaná osoba porušila zásadu minimalizace údajů[13]. Za porušení povinností při zpracování osobních údajů klientů[14] pak Úřad uložil Kontrolované osobě pokutu ve výši 250.000 Kč.

    Co dál?

    Podle autorů tohoto článku by bylo chybou závěry Úřadu uvedené v Rozhodnutí zobecnit a plošně aplikovat na všechny systémy založené na DBP. Takový přístup by mohl mít za následek konec používání DBP v České republice, včetně ztráty benefitů DBP (především vyšší míry jistoty při zpochybnění pravosti podpisu).

    Zejména považujeme za nezbytné zdůraznit, že biometrické údaje představují osobní údaje zvláštní kategorie pouze tehdy, jsou-li zpracovávány za účelem jedinečné identifikace fyzické osoby[15]. To však u DBP zpravidla neplatí. Ve většině případů DBP není zpracováván s cílem identifikovat[16] podepisující osobu, ale umožnit její (následnou) autentizaci[17].

    Rizika plynoucí z Rozhodnutí tak lze minimalizovat již vhodným nastavením systému DBP. Pokud bude systém založený na DBP sloužit k autentizaci podepisující osoby, nebude se jednat o zpracování zvláštních kategorií osobních údajů a zpracování bude probíhat mimo režim čl. 9 GDPR[18].

    V závislosti na konkrétním nastavení systému pak podle našeho názoru může docházet ke zpracování DBP i bez souhlasu dotčené fyzické osoby. Zpracování DBP se může opírat např. o oprávněné zájmy správce[19]. Tento účel zpracování považujeme za legitimní, neboť DBP pomáhá správci předcházet či řešit případné spory o pravost podpisu. Zpracování DBP pro tyto účely lze považovat za přiměřené, relevantní a neporušující zásadu minimalizace údajů podle GDPR.

    Závěr

    Podle autorů článku zpracování DBP za účelem autentizace fyzické osoby (a) nezakládá zpracování zvláštních kategorií osobních údajů ve smyslu článku 9 GDPR a (b) je možné i bez souhlasu dotčené fyzické osoby.

    Do doby vyjasnění aktuálního postoje a rozhodovací praxe Úřadu k DBP nicméně nelze zaručit, že Úřad bude na systémy založené na DBP nahlížet stejným způsobem. V tomto směru bude klíčové avizované stanovisko Úřadu k biometrickým údajům.

    Mgr. Matyáš Kužela,
    partner

    Mgr. Tomáš Zwinger,
    advokát


    ŘANDA HAVEL LEGAL advokátní kancelář s.r.o.

    Truhlářská 13-15
    110 00  Praha 1

    Tel.:    +420 222 537 500 – 501
    Fax:    +420 222 537 510
    e-mail:    office.prague@randalegal.com

    _______________________________
    [1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, čl. 3 bod 10.
    [2] Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, § 7.
    [3] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
    [4] Biometrickými údaji se rozumí osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.
    [5] Citlivým údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Viz § 4 písm. b) tehdy platného zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
    [6] Převedené do číselného údaje bez možnosti zpětné rekonstrukce zpět na úplný biometrický údaj.
    [7] Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
    [8] K dispozici >>> zde.
    [9] Zvláštní kategorií osobních údajů se podle čl. 9 odst. 1 GDPR rozumí údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje a biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
    [10] To však dosud nebylo uveřejněno.
    [11] Rozhodnutí Úřadu pro ochranu osobních údajů ze dne 21. března 2019, č.j. UOOU-10138/18-8, k dispozici >>> zde.
    [12] Tedy uzavření a uchovávání smluvní dokumentace, zjednodušení tohoto procesu a v případě potřeby určení, zda se jedná o podpis té které osoby.
    [13] Jedná se o jednu ze základních zásad zakotvenou v čl. 5 odst. 1 písm. c) GDPR.
    [14] Zpracování DBP klientů nebylo jediným porušením Kontrolované osoby deklarovaným v Rozhodnutí.
    [15] Srov. článek 9 odst. 1 GDPR.
    [16] Identifikace je proces určení identity subjektu. Tento proces je založen na výběru konkrétního subjektu z řady ostatních osob. Proces identifikace tak probíhá nad celou databází (její částí), výběrem jednoho z řady záznamů (porovnání 1:n). V případě DBP by proces identifikace probíhal tak, že systém by po zachycení DBP provedl výběr nad databází více záznamů DBP a z těchto záznamů vybral jeden odpovídající záznam.
    [17] Autentizace (verifikace) je proces ověření (deklarované) identity subjektu. Identita je přitom ověřována pouze ve vztahu k deklarovanému subjektu. Proces autentizace tedy neprobíhá nad celou databází záznamů, ale pouze ve vztahu k záznamu konkrétní osoby (porovnání 1:1). V případě DBP proces autentizace probíhá tak, že systém porovná zachycený záznam DBP s konkrétním záznamem vedeným v databázi. Výběr záznamu z databáze je přitom proveden na základě jiných údajů/vlastností než je DBP.
    [18] Pro úplnost uvádíme, že se jedná o rozdíl oproti minulé právní úpravě, která považovala za citlivé i biometrické údaje umožňující autentizaci fyzické osoby; srov. § 4 písm. b) ZOOÚ. V tomto ohledu lze konstatovat, že GDPR je ke zpracování biometrických údajů benevolentnější než byl ZOOÚ.
    [19] Podle čl. 6 odst. 1 písm. f) GDPR.

    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Matyáš Kužela, Mgr. Tomáš Zwinger (ŘANDA HAVEL LEGAL)
    27. 6. 2019
    pošli emailem
    vytiskni článek
    • Tweet

    Další články:

    • Nová sleva na pojistném na sociální zabezpečení
    • Nový, bezcitný a nejchytřejší konkurent na trhu. Měli by mít advokáti strach?
    • Žaloba na neplatnost převodu věci podaná potenciálním dědicem zcizitele
    • Ke spornosti výkladu ustanovení § 62 zákona o obchodních korporacích a dopadu povinností členů volených orgánů obchodní korporace na prokuristu
    • Fotovoltaické elektrárny z pohledu energetického zákona
    • Co můžeme očekávat od nařízení o zelených dluhopisech?
    • Vládní pomoc velkým podnikům na zvýšené náklady cen energií (zastropování cen energií a dotační program)
    • Nenechte se obalit obalovou novelou
    • Odepření plnění (zlatého padáku) ze smlouvy o výkonu funkce
    • Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti
    • Do třetice všeho dobrého? Aneb další pokus České republiky přijmout zákon o hromadných řízeních

    Související produkty

    Online kurzy

    • Ustavující zasedání zastupitelstva obce
    • Jsem zastupitelem, co teď?
    • Poskytování dotací optikou správního soudnictví
    • Framing v online prostředí a právo na sdělování autorských děl veřejnosti
    • Spolky pohledem daňového práva
    Lektoři kurzů
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    Mgr. Stanislav Servus,  LL.M.
    Mgr. Stanislav Servus, LL.M.
    Kurzy lektora
    JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
    JUDr. et Mgr. Pavla Voříšková, Ph.D.
    Kurzy lektora
    Mgr. Ing. Bc. Jan Tomíšek
    Mgr. Ing. Bc. Jan Tomíšek
    Kurzy lektora
    doc. JUDr. Petr Tégl, Ph.D.
    doc. JUDr. Petr Tégl, Ph.D.
    Kurzy lektora
    Mgr. Lukáš Sommer
    Mgr. Lukáš Sommer
    Kurzy lektora
    Mgr. František Korbel, Ph.D.
    Mgr. František Korbel, Ph.D.
    Kurzy lektora
    JUDr. Josef Donát, LL.M.
    JUDr. Josef Donát, LL.M.
    Kurzy lektora
    JUDr. Tomáš Dobřichovský, Ph.D.
    JUDr. Tomáš Dobřichovský, Ph.D.
    Kurzy lektora
    všichni lektoři

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Nový, bezcitný a nejchytřejší konkurent na trhu. Měli by mít advokáti strach?
    • Nová sleva na pojistném na sociální zabezpečení
    • 10 otázek pro ... Martina Řandu
    • Jednání za právnickou osobu
    • Kdy a komu nelze dát výpověď z pracovního poměru
    • Příplatek mimo základní kapitál – váže se k podílu, nebo osobě? A jak je to s převodem?
    • Žaloba na neplatnost převodu věci podaná potenciálním dědicem zcizitele
    • Fotovoltaické elektrárny z pohledu stavebního zákona
    • Žaloba na neplatnost převodu věci podaná potenciálním dědicem zcizitele
    • Kdy a komu nelze dát výpověď z pracovního poměru
    • Nový, bezcitný a nejchytřejší konkurent na trhu. Měli by mít advokáti strach?
    • Fotovoltaické elektrárny z pohledu energetického zákona
    • Příplatek mimo základní kapitál – váže se k podílu, nebo osobě? A jak je to s převodem?
    • Odepření plnění (zlatého padáku) ze smlouvy o výkonu funkce
    • Ke spornosti výkladu ustanovení § 62 zákona o obchodních korporacích a dopadu povinností členů volených orgánů obchodní korporace na prokuristu
    • Nová sleva na pojistném na sociální zabezpečení
    • Fotovoltaické elektrárny z pohledu stavebního zákona
    • Platné sjednání smluvní pokuty pohledem judikatury Nejvyššího soudu
    • Přikázání věci do vlastnictví jednoho ze spoluvlastníků při vypořádání spoluvlastnictví
    • Přímá odpovědnost jednatele (společníka) SRO za škodu způsobenou třetí osobě
    • K článku Manželství pro všechny z katolického pohledu
    • Nová sbírka právních předpisů jako nechtěný dar
    • Přehled vybraných legislativních novinek platných pro rok 2023
    • Výpověď pro nadbytečnost po předchozím neplatném skončení pracovního poměru

    Pracovní pozice

    Soudní rozhodnutí

    Jednání za právnickou osobu

    Za právnickou osobu v občanském soudním řízení jedná především – jak vyplývá z ustanovení § 21 odst. 1 písm. a) o. s. ř. – člen statutárního orgánu. Tvoří-li statutární...

    Insolvence a plná moc (exkluzivně pro předplatitele)

    Opravňuje-li procesní plná moc udělená přihlášeným věřitelem advokáta k zastupování věřitele v rámci všech úkonů, k nimž je věřitel oprávněn a povinen v rámci...

    Předsmluvní odpovědnost

    Úprava tzv. předsmluvní odpovědnosti stojí na obecné povinnosti jednat poctivě (§ 6 o. z.), a to i při jednání o uzavření smlouvy. Možnost vzniku povinnosti k náhradě škody mezi...

    Ukládání trestů (exkluzivně pro předplatitele)

    Uložení trestu pod dolní hranicí trestní sazby nelze odůvodnit odkazem na § 39 odst. 4 tr. zákoníku a v něm zakotvenou povinnost soudu přihlédnout při stanovení druhu trestu a jeho...

    Závěť (exkluzivně pro předplatitele)

    V ustanoveních § 555 a násl. o. z. je obsažena obecná úprava interpretace právních jednání, u některých právních jednání stanoví zákon speciální pravidla pro jejich výklad. Tak...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2023, ISSN 1213-189X      developed by Actimmy
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapoměli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.