facebook LinkedIN LinkedIN - follow
IT SYSTEMS 9/2019 , HRM/HCM - Řízení lidských zdrojů , IT právo

Biometrika v docházkových systémech koliduje s výkladem GDPR

Mgr. Ondřej Fiala


Nedávno jsem viděl reklamu na „chytrý“ produkt pro firmy a veřejné organizace. Docházkový systém se čtečkou otisků prstů. Spolehlivá a přesná kontrola, kterou není možné obejít, sliboval prodávající. Jako zaměstnavateli vám to zní lákavě? Možná jen do chvíle, než zjistíte, že je to ďáblova nabídka, jak vás dostat do pěkného maléru. Proč?


Protože vám legislativa zkrátka přestala být nakloněna. Úřad pro ochranu osobních údajů sice navrhuje změnu legislativy, její podoba má ovšem zásadní háček. V čem je tedy celý problém a jak se vyhnout sankcím?

Milovníci detektivních žánrů si určitě vzpomenou na sérii detektivek Dobrodružství kriminalistiky. V díle „Otisk“ se seržantu Josephu A. Faurotovi podaří odhalit, kdo zavraždil amerického bankéře. Pravý vrah byl usvědčen pomocí otisku prstu. Tím dal vzniknout v kriminalistice nové vědě zvané daktyloskopie.

Úspěch daktyloskopie je prostý. Pomocí otisku prstu nebo třeba dlaně lze spolehlivě identifikovat konkrétního člověka. To umožňují kožní papilární linie (tzv. markanty). Na světě totiž pravděpodobně neexistují dva jedinci, kteří mají absolutně shodné obrazce papilárních linií. A nyní se na otisky prstů podívejme z pohledu ochrany osobních údajů.

Protože otisk prstů je způsobilý identifkovat konkrétní osobu, považujeme ho za osobní údaj.1 Tím, že jde o biologický znak živého organismu, vypovídající o jeho fyzických či fyziologických znacích, jedná se zároveň o osobní údaj biometrický. Biometrické údaje podle GDPR patří do tzv. zvláštní kategorie osobních údajů (dříve známé jako tzv. „citlivé“ údaje).2

To je pro zaměstnavatele zásadní si uvědomit – pokud tedy nyní využíváte systémy shromažďující otisk(y) prstů zaměstnanců, nezacházíte už jen s „běžnými“ osobními údaji, ale se zvláštní kategorií osobních údajů. To s sebou také přináší přísnější pravidla.

Není otisk jako otisk

Otisk prstu nicméně může být pořízen dvěma způsoby. První způsob je pořízení otisku jako úplného biometrického údaje, tedy pořízení kompletního otisku prstu. Druhý způsob funguje tak, že čtečka vybere jen některé rysy otisku (zvolí několik charakteristických bodů), z nichž se následně vytvoří šablona otisku. Šablona je pak prostřednictvím matematických operací (typicky pomocí tzv. hashování) zpracována do číselného vyjádření tak, že samotný otisk prstu není nadále volně čitelný nebo znovu rekonstruovatelný do původní a úplné podoby.

Teď už tedy víme, že otisk prstu může být pořízen buď jako kompletní, nebo v podobě šablony (převedené do číselného vyjádření).

Vzhledem k tomu, že při pořízení šablony z původního otisku prstu zbyde jen číselné vyjádření, považoval3 Úřad pro ochranu osobních údajů samotnou šablonu otisku prstu jako běžný osobní údaj, nikoli jako údaj biometrický (a tedy ani jako údaj „citlivý“).4 To pochopitelně znamenalo mírnější legislativní požadavky.

Přímo ve vztahu k docházkovým systémům pak ÚOOÚ uvedl následující „Jestliže dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné, a to při naplnění povinností správce podle § 5 odst. 1 a dále některé z podmínek § 5 odst. 2 písm. a), b) nebo e) zákona č. 101/2000 Sb., o ochraně osobních údajů i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje.“

To zaměstnavatelům dovolovalo určité (legální) zpracování šablon otisků prstů v docházkových systémech.

Naopak zpracování kompletního otisku prstu jako biometrického („citlivého“) údaje bylo možné jen na základě výjimek uvedených v § 9 písm. a) až i) zákona č. 101/2000 Sb., o ochraně osobních údajů. Pod tyto výjimky ovšem provozování biometrických docházkových systémů nebylo možné podřadit.

Provozování docházkových systémů s čtečkou otisků prstů tak bylo možné jen v případě, že přístroj pracoval s tzv. šablonami otisky prstů.

GDPR přineslo změnu

Výše uvedený závěr o mírnějších pravidlech k šablonám otisků byl nicméně platný jen do příchodu GDPR. Počínaje jeho účinností totiž přišla i změna v právním výkladu. Problém nastává ve chvíli, kdy výrobci docházkových systémů s čtečkou na otisk prstu na změnu nezareagovali, a svůj produkt dále nabízí „v souladu s legislativou“. To už může být nyní přinejmenším klamáním zákazníků. Zaměstnavatelé tak stále v dobré víře, že zpracování šablon otisků prstů je legální, využívají biometrické docházkové systémy. Bohužel se tím vystavují hrozbě sankcí za porušení předpisů na ochranu osobních údajů.

Úřad pro ochranu osobních údajů totiž s účinností GDPR zařadil také šablony otisků vyjádřené v číselných řadách do kategorie biometrických údajů, resp. do zvláštní kategorie osobních údajů (dříve „citlivé“ údaje), čímž změnil svou dosavadní praxi. Úřad k tomu uvedl, že „Z pohledu nové právní regulace i rychlého vývoje technologií je totiž nutno systémy s biometrickými údaji považovat za systémy s citlivými údaji, které vyžadují zvláštní, resp. přísnější systém ochrany.“ 5

Kompletní otisk prstu a šablony otisku tedy byly sloučeny do jedné skupiny – zvláštní kategorie osobních údajů. To konkrétně znamená aplikaci přísnějšího režimu při použití šablon otisků prstů. Zaměstnavatel se při provozování bude muset řídit především čl. 9 GDPR, který (podobně jako dříve účinný § 9 zákona o ochraně osobních údajů) obsahuje výjimky, za nichž je možné užít zvláštní kategorie osobních údajů, mj. také těch biometrických. Ovšem podřadit provozování docházkového systému s čtečkou otisku prstu Úřad pro ochranu osobních údajů nepřipouští.

Nepomůže souhlas zaměstnance?

Nepomůže. Nebo alespoň – takto negativně se k tomu staví Úřad pro ochranu osobních údajů. Ten zastává názor, že v tomto případě (ve vztahu mezi zaměstnavatelem a zaměstnancem) nemůže být souhlas se zpracováním udělen svobodně, a proto nemůže být naplněna jedna ze základních vlastností zákonného souhlasu se zpracováním osobních údajů (k tomu viz recitál č. 42, 43; a článek 4 odst. 11 GDPR), Úřad dále doplňuje, že je také problematická možnost odvolatelnosti souhlasu.6

Každý zaměstnavatele, který se tedy nyní při provozování docházkového systému zpracovávajícího biometrické údaje opírá o souhlas se zpracováním osobních údajů zaměstnanců, tak činí v rozporu s předpisy na ochranu osobních údajů. Tím se pochopitelně vystavuje potenciálnímu riziku sankce.

Osobně se domnívám, že striktní názor Úřadu není přiléhavý. V těch případech, kdy zaměstnavatel umožní zaměstnancům i jiné způsoby evidence docházky (které by nezahrnovaly zpracování zvláštních kategorií osobních údajů) by totiž dal zaměstnancům možnost alternativy. Zaměstnancům by tím umožnil svobodný výběr. Pokud by se zaměstnanec sám rozhodl využít systém zpracovávající biometrické údaje, udělil by následně souhlas. Takto uskutečněný souhlas by přitom již naplňoval znaky svobodné vůle zaměstnance a splňoval by proto požadavky GDPR.

V případě, že by zaměstnanec chtěl využít odvolatelnosti a souhlas vzít zpět, pak by mohl jednoduše přejít na druhý (méně invazivní) způsob zaznamenávání docházky.

Pomůže změna legislativy?

Patrně ne. Pokud tedy projde tak, jak je nyní navrhována. Kladně se sice musí hodnotit snaha Úřadu pro ochranu osobních údajů, který navrhuje změnu legislativy k mírnějšímu. Návrh ovšem bohužel opomíjí docházkové systémy s biometrikou.

Úřad vnímá všeobecný vývoj technologií a jejich stále větší integritu do společnosti, kdy ve všech odvětvích napříč hospodářstvím dochází k rozšiřování systémů zpracovávajících biometrické údaje. S tímto vědomím pak v rámci připravované novelizace zákoníku práce do něj navrhuje začlenit nové ustanovení, které bude zaměstnavatelům umožňovat v určitých případech zpracovávání biometrických údajů zaměstnanců.

Jenže navrhovaná novela má dopadat jen na ty případy, kdy je zpracování biometrických údajů využíváno „k ochraně výrobních a pracovních prostředků a technologií zaměstnavatele“, přičemž údaje budou využívány pouze pro kontrolu přístupu k výrobním a jiným provozním zařízením zaměstnavatele“.7

V praxi tedy bude vyžití biometriky umožněno jen za účelem umožnění přístupu do omezených prostor, a to výhradně k ochraně určité hodnoty zaměstnavatele. Pod tyto případy provozování docházkový systém s biometrikou jistě nebude možné zařadit. Ostatně, to výslovně potvrzuje samotný Úřad, který uvádí, že změna legislativy „neumožňuje využívání biometrických údajů zaměstnanců k jiným účelům, včetně pouhé evidence docházky“.8

Navrhovaná změna legislativy by tak umožňovala využití biometrických údajů zaměstnavateli jen ve velmi specifických situacích.

Ačkoliv snaha Úřadu vyjít zaměstnavatelům vstříc je rozhodně pozitivním gestem, dovolím si přesto závěrem zmínit poznámku, že namísto navrhování dalších regulací a změn legislativy, by bylo možné problém překlenout efektivněji, a to například výkladovými prostředky. Navíc Úřadem koncipovaný legislativní návrh je pojat tak úzce, že volnější pravidla by dopadala jen na velmi malou část zaměstnavatelů. Naopak využívání docházkových systémů s biometrikou, které je podstatně více rozšířeno, zůstane stále mimo prostor legálního zpracování osobních údajů. Je proto škoda, že Úřad v tomto nevyužil svou šanci a změnu legislativy nepojal šířeji.

Zdroje, odkazy:
[1] Viz čl. 4 odst. 1 GDPR.
[2] Viz čl. 4 odst. 4, čl. 9 GDPR.
[3] Užití préterita je zde mimořádně důležité.
[4] Stanovisko ÚOOÚ č. 1/2017 - Biometrická identifikace nebo autentizace zaměstnanců. Dostupné on-line zde: https://www.uoou.cz/stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizace-zamestnancu/d-23849/p1=3938.
[5] Upozornění na změnu v posuzování systémů využívajících biometrické údaje (dříve "Stanovisko č. 1/2017 - Biometrická identifikace nebo autentizace zaměstnanců"). Dostupné on-line zde https://www.uoou.cz/upozorneni-na-zmenu-v-nbsp-posuzovani-systemu-vyuzivajicich-biometricke-udaje-drive-quot-stanovisko-c-1-2017-biometricka-identifikace-nebo-autentizace-zamestnancu-quot/d-29048.
[6] Připomínka k návrhu zákona, kterým se mění zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, a zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů. Dostupné on-line zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=35418.
[7] Tamtéž.
[8] Tamtéž.

Mgr. Ondřej Fiala Mgr. Ondřej Fiala
Autor působí v advokacii, kde se zaměřuje na ICT právo, se specializací na ochranu osobních údajů. Cizí mu není ani právo obchodních korporací. Vedle toho metodicky vede tým odborníků, kteří poskytují poradenství v oblasti ochrany osobních údajů a kybernetické bezpečnosti více jak 470 organizacím. Zároveň lektoruje semináře s právní tématikou především pro instituce veřejné správy.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.