Upozornění na změnu v posuzování systémů s biometrickými údaji
Dne 25. května 2018 nabývá účinnosti evropský předpis, který nově nastavuje ochranu osobních údajů mj. z důvodu proměn a rychlého rozvoje technologií, tzv. obecné nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady, č. 2016/679). V čl. 9 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických údajů, včetně šablon (template) a jejich zpracování za účelem identifikace osob, považuje za zpracování zvláštní kategorie osobních údajů.
Obecné nařízení v otázkách zpracování biometrických údajů plně nahradí dosud platné ustanovení zákona o ochraně osobních údajů, nebude tedy možno postupovat v mezích dosavadní právní úpravy a stanovisek Úřadu pro ochranu osobních údajů. Právní úprava v obecném nařízení a nové nástroje ochrany osobních údajů nejsou totožné s dosud platným § 4 písm. b) zákona o ochraně osobních údajů. Z pohledu nové právní regulace i rychlého vývoje technologií je totiž nutno systémy s biometrickými údaji považovat za systémy s citlivými údaji, které vyžadují zvláštní, resp. přísnější systém ochrany.
Kontroly zpracování osobních údajů prováděné v současné době jsou již vedeny s přihlédnutím k výše uvedené skutečnosti. Úřad proto považuje za vhodné, aby správci osobních údajů měli již nyní informace o postupu, který nebude v rozporu s obecným nařízením po jeho účinnosti. V návaznosti na výsledky kontrol a na nové poznatky ÚOOÚ zveřejní aktuální stanovisko k biometrickým údajům.
Biometrické technologie, přes jejich stále větší dostupnost a dosažitelnost (technickou i finanční), nejsou plnou náhradou jiných bezpečnostních řešení a samy o sobě větší bezpečnost nezajišťují. Správci pořizující si takové systémy mají nejen povinnost posoudit přiměřenost konkrétního řešení a rizika s ním spojená, ale také musí vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními. Správci musí předem zkoumat, zda existují vážné hrozby, které instalaci takových systémů odůvodňují, a průběžně posuzovat účinnost biometrických systémů.
K použití biometriky by měl být dán vážný důvod a současně by měly být zkoumány i další dopady na dotčené osoby. Zvláštní pozornost je přitom třeba věnovat použití biometriky např. u dětí ve školách. Jedná se o výjimečné případy, kdy není dán zákonný titul pro zpracování údajů a bude nutno dodržet pravidla pro získání souhlasu se zpracováním osobních údajů od každé dotčené osoby.
Související
Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla...
vydáno 25.04.2023
Téma: Zákony a GDPR
Od 1. dubna letošního roku nabude účinnosti novela legislativních pravidel vlády. Ta mění pravidla pro...
vydáno 14.02.2023
Téma: Zákony a GDPR
Úřad pro ochranu osobních údajů se v rámci své kontrolní činnosti v roce 2023 zaměří na zpracování osobních...
vydáno 19.01.2023
Téma: Evidence zpracování
Související dotazy
Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....
Odpovídá Mgr. Nikola Dohnalová
Tato povinnost se vztahuje pouze na subjekty, které jsou v postavení správce či zpracovatele a naplňují jednu z níže uvedených podmínek:
A)...
Odpovídá Ing. Vladimír Paclík
Pověřenec pro ochranu osobních údajů certifikát mít nemusí - musí ale mít odpovídající znalosti a dovednosti, aby takovou pozici zastávat mohl - viz...