epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    27. 6. 2019
    ID: 109593upozornění pro uživatele

    Konec dynamického biometrického podpisu v ČR?

    Používání dynamického biometrického podpisu („DBP“) namísto tradičního podpisu na papír je v České republice stále populárnější. Tento způsob podepisování využívají např. finanční instituce či telefonní operátoři. Důvodem je zejména urychlení smluvních procesů, úspora nákladů a především vyšší úroveň autenticity dokumentů podepsaných DBP.

    Cílem tohoto článku je zhodnotit, nakolik je uvedený trend ohrožen aktuálním postojem a rozhodovací praxí Úřadu pro ochranu osobních údajů („Úřad“).

    Co je DBP?

    Zjednodušeně lze říci, že DBP vedle samotné grafické podoby podpisu obsahuje i informace o tom, jak byl podpis vytvořen.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    DBP vzniká snímáním vlastnoručního podpisu s využitím speciálního zařízení (tablet nebo tzv. signpad). Ten zachycuje dynamické vlastnosti podpisu, jako jsou čas, tlak, rychlost, forma a tvar, křivky, celková velikost atd. Uvedené vlastnosti představují biometrickou stopu, která je unikátní pro každého jednotlivce. Oproti běžnému podpisu tak DBP umožňuje lépe ověřit a potvrdit, že dokument skutečně podepsala deklarovaná osoba.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Z právního hlediska je DBP druh elektronického podpisu. Ve smyslu nařízení eIDAS[1] a zákona o službách vytvářejících důvěru pro elektronické transakce[2] se jedná o tzv. prostý elektronický podpis, který je postaven naroveň klasickému vlastnoručnímu podpisu na papír.

    Stejně jako klasický podpis představuje i DBP osobní údaj ve smyslu čl. 4 bodu 1) obecného nařízení o ochraně osobních údajů[3] („GDPR“). Jelikož DBP zachycuje biometrickou stopu podepisující osoby, patří DBP mezi tzv. biometrické údaje ve smyslu čl. 4 bodu 14) GDPR[4].

    Dosavadní postoj Úřadu k DBP

    K DBP se opakovaně vyjadřoval též Úřad. Názory Úřadu ve vztahu k DBP přitom prošly značným vývojem.

    Ve svém stanovisku č. 3/2009 se Úřad nezabýval přímo DBP, ale obecně systémy, které zpracovávají biometrické údaje. Úřad tyto systémy rozdělil na (a) systémy zpracovávající „běžné“ osobní údaje a (b) systémy zpracovávající tzv. citlivé údaje[5], které vyžadují přísnější režim ochrany. Klíčovým hlediskem pro zařazení konkrétního systému do jedné z těchto kategorií byla skutečnost, zda jsou v jeho rámci zpracovávány (i) úplné biometrické údaje nebo (ii) pouze jejich šablony[6]. V prvním případě se podle stanoviska Úřadu jednalo o zpracování citlivých údajů, ve druhém pak o zpracování běžných osobních údajů.

    Stanovisko č. 2/2014 se již zaměřilo na problematiku DBP z pohledu tehdy platného zákona o ochraně osobních údajů[7] („ZOOÚ“). Úřad zde konstatoval, že v případě DBP dochází ke zpracování citlivých údajů. Právním titulem umožňujícím takové zpracování realizovat byl podle Úřadu pouze souhlas dotčené osoby.

    V červnu 2017 Úřad uveřejnil na svých stránkách zprávu s názvem Změna v hodnocení úrovně právní ochrany biometrických údajů[8]. V této zprávě s odvoláním na novou právní úpravu (GDPR) opustil dosavadní dělení systémů s biometrickými údaji, které představil ve svém stanovisku č. 3/2009. Úřad deklaroval, že jakýkoliv systém, který shromažďuje biometrické údaje za účelem identifikace fyzické osoby, bude považovat za systém zpracovávající zvláštní kategorie osobních údajů[9]. Současně Úřad přislíbil, že k biometrickým údajům zveřejní nové stanovisko[10].

    Rozhodnutí Úřadu

    K využití DBP se Úřad vyjádřil i ve svém rozhodnutí z března 2019[11] („Rozhodnutí“). Rozhodnutí bylo vydáno v návaznosti na kontrolu zpracování osobních údajů u finanční instituce („Kontrolovaná osoba“). Ta zpracovávala DBP na základě souhlasů svých klientů. Kontrolovanou osobou stanoveným účelem zpracování DBP bylo uzavření a uchovávání smluvní dokumentace, zjednodušení tohoto procesu a v případě potřeby určení, zda se jedná o podpis té které osoby.

    Úřad v rámci kontroly a navazujícího správního řízení dospěl k závěru, že Kontrolovaná osoba zjevně zpracovávala DBP za účelem jedinečné identifikace klientů, a jednalo se tedy o zpracování zvláštní kategorie osobních údajů. Dále konstatoval, že zpracování DBP není nezbytné k účelům zpracování, které odsouhlasili klienti Kontrolované osoby[12].

    V návaznosti na svou úvahu o nikoli nezbytném zpracování DBP Úřad uzavřel, že Kontrolovaná osoba porušila zásadu minimalizace údajů[13]. Za porušení povinností při zpracování osobních údajů klientů[14] pak Úřad uložil Kontrolované osobě pokutu ve výši 250.000 Kč.

    Co dál?

    Podle autorů tohoto článku by bylo chybou závěry Úřadu uvedené v Rozhodnutí zobecnit a plošně aplikovat na všechny systémy založené na DBP. Takový přístup by mohl mít za následek konec používání DBP v České republice, včetně ztráty benefitů DBP (především vyšší míry jistoty při zpochybnění pravosti podpisu).

    Zejména považujeme za nezbytné zdůraznit, že biometrické údaje představují osobní údaje zvláštní kategorie pouze tehdy, jsou-li zpracovávány za účelem jedinečné identifikace fyzické osoby[15]. To však u DBP zpravidla neplatí. Ve většině případů DBP není zpracováván s cílem identifikovat[16] podepisující osobu, ale umožnit její (následnou) autentizaci[17].

    Rizika plynoucí z Rozhodnutí tak lze minimalizovat již vhodným nastavením systému DBP. Pokud bude systém založený na DBP sloužit k autentizaci podepisující osoby, nebude se jednat o zpracování zvláštních kategorií osobních údajů a zpracování bude probíhat mimo režim čl. 9 GDPR[18].

    V závislosti na konkrétním nastavení systému pak podle našeho názoru může docházet ke zpracování DBP i bez souhlasu dotčené fyzické osoby. Zpracování DBP se může opírat např. o oprávněné zájmy správce[19]. Tento účel zpracování považujeme za legitimní, neboť DBP pomáhá správci předcházet či řešit případné spory o pravost podpisu. Zpracování DBP pro tyto účely lze považovat za přiměřené, relevantní a neporušující zásadu minimalizace údajů podle GDPR.

    Závěr

    Podle autorů článku zpracování DBP za účelem autentizace fyzické osoby (a) nezakládá zpracování zvláštních kategorií osobních údajů ve smyslu článku 9 GDPR a (b) je možné i bez souhlasu dotčené fyzické osoby.

    Do doby vyjasnění aktuálního postoje a rozhodovací praxe Úřadu k DBP nicméně nelze zaručit, že Úřad bude na systémy založené na DBP nahlížet stejným způsobem. V tomto směru bude klíčové avizované stanovisko Úřadu k biometrickým údajům.

    Mgr. Matyáš Kužela,
    partner

    Mgr. Tomáš Zwinger,
    advokát


    ŘANDA HAVEL LEGAL advokátní kancelář s.r.o.

    Truhlářská 13-15
    110 00  Praha 1

    Tel.:    +420 222 537 500 – 501
    Fax:    +420 222 537 510
    e-mail:    office.prague@randalegal.com

    _______________________________
    [1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, čl. 3 bod 10.
    [2] Zákon 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, § 7.
    [3] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
    [4] Biometrickými údaji se rozumí osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.
    [5] Citlivým údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Viz § 4 písm. b) tehdy platného zákona 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
    [6] Převedené do číselného údaje bez možnosti zpětné rekonstrukce zpět na úplný biometrický údaj.
    [7] Zákon 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
    [8] K dispozici >>> zde.
    [9] Zvláštní kategorií osobních údajů se podle čl. 9 odst. 1 GDPR rozumí údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje a biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
    [10] To však dosud nebylo uveřejněno.
    [11] Rozhodnutí Úřadu pro ochranu osobních údajů ze dne 21. března 2019, č.j. UOOU-10138/18-8, k dispozici >>> zde.
    [12] Tedy uzavření a uchovávání smluvní dokumentace, zjednodušení tohoto procesu a v případě potřeby určení, zda se jedná o podpis té které osoby.
    [13] Jedná se o jednu ze základních zásad zakotvenou v čl. 5 odst. 1 písm. c) GDPR.
    [14] Zpracování DBP klientů nebylo jediným porušením Kontrolované osoby deklarovaným v Rozhodnutí.
    [15] Srov. článek 9 odst. 1 GDPR.
    [16] Identifikace je proces určení identity subjektu. Tento proces je založen na výběru konkrétního subjektu z řady ostatních osob. Proces identifikace tak probíhá nad celou databází (její částí), výběrem jednoho z řady záznamů (porovnání 1:n). V případě DBP by proces identifikace probíhal tak, že systém by po zachycení DBP provedl výběr nad databází více záznamů DBP a z těchto záznamů vybral jeden odpovídající záznam.
    [17] Autentizace (verifikace) je proces ověření (deklarované) identity subjektu. Identita je přitom ověřována pouze ve vztahu k deklarovanému subjektu. Proces autentizace tedy neprobíhá nad celou databází záznamů, ale pouze ve vztahu k záznamu konkrétní osoby (porovnání 1:1). V případě DBP proces autentizace probíhá tak, že systém porovná zachycený záznam DBP s konkrétním záznamem vedeným v databázi. Výběr záznamu z databáze je přitom proveden na základě jiných údajů/vlastností než je DBP.
    [18] Pro úplnost uvádíme, že se jedná o rozdíl oproti minulé právní úpravě, která považovala za citlivé i biometrické údaje umožňující autentizaci fyzické osoby; srov. § 4 písm. b) ZOOÚ. V tomto ohledu lze konstatovat, že GDPR je ke zpracování biometrických údajů benevolentnější než byl ZOOÚ.
    [19] Podle čl. 6 odst. 1 písm. f) GDPR.

    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Matyáš Kužela, Mgr. Tomáš Zwinger (ŘANDA HAVEL LEGAL)
    27. 6. 2019

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Rodinná nadace s dceřinou společností: Alternativa ke svěřenskému fondu pro správu rodinného majetku
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Státní zaměstnanci a úředníci v byznysu: Flexinovela bourá hranice a otevírá dveře do podnikatelských orgánů
    • K jednomu z výkladových úskalí na úseku regulace slev
    • Student je spotřebitel: ÚS redefinoval smluvní vztahy se soukromými VŠ

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Prodloužení lhůt pro dání výpovědi a okamžitého zrušení zaměstnavatelem
    • Compliance z pohledu obchodní korporace a přínos compliance programu pro obchodní korporaci
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Obchodní vedení společnosti
    • Společná domácnost
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Obchodní vedení společnosti
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Byznys a paragrafy, díl 12.: Právní Due Diligence
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?
    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2025
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Úprava styku rodiče s dítětem nízkého věku v tzv. navykacím režimu a poté
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • V Mělníce by se chtěl soudit každý aneb úspěšnost návrhů na vydání předběžného opatření u okresních soudů

    Soudní rozhodnutí

    Poškozený

    Postupem soudu, v jehož důsledku je podle § 206 odst. 3 trestního řádu nezákonně vyloučeno účastenství konkrétní osoby v trestním řízení, se porušuje právo dané osoby na soudní...

    Opatrovník

    Z hlediska kolize zájmů není přípustné, pokud je opatrovníkem účastníka řízení ustanovena osoba podřízená orgánu veřejné moci (např. jeho zaměstnanec), který vede řízení, a...

    Společná domácnost

    Za přiměřené poměry manžela ve smyslu § 767 odst. 2 o. z. lze považovat takové okolnosti, které prokazují jeho potřebu bydlet v daném bytě či domě, jež musí být natolik...

    Mzda (exkluzivně pro předplatitele)

    Posuzuje-li se otázka rovného odměňování složkou mzdy, pro niž jsou podmínky (předpoklady) stanovené zaměstnavatelem ve vnitřním předpisu, je nutné v prvé řadě rozlišovat, zda...

    Náhrada za ztrátu na výdělku (exkluzivně pro předplatitele)

    Ošetřující lékař podle § 57 zákona o nemocenském pojištění vydává rozhodnutí o vzniku dočasné pracovní neschopnosti a podle § 59 téhož zákona vydává rozhodnutí o ukončení...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.