CHCI ZKOUŠET

Chci učitBiometrické údaje na UK: 3.) Zabezpečení

Biometrické údaje na UK: 3.) Zabezpečení

Poslední aktualizace:

Uchovávání biometrických údajů musí být zajištěno tak, aby byly maximálně omezeny možnosti jejich zneužívání. Do kategorie zneužívání patří jakékoli využívání mimo důvody, pro které byly pořízeny, a které byly výslovně uvedeny v souhlasu, který subjektu udělil.

Šifrování

Uložené údaje musí být uchovávány šifrované tak, aby nebyly využitelné bez znalosti nebo nástroje, který není spolu s údaji dostupný.

Pro autentizaci jsou uchovávány biometrické šablony. Ty by měly být uloženy tak, aby z nich nebylo možné zpětně získat ucelený biometrický údaj nebo jeho podstatnou část (tzv. hash). I hash musí být uchováván jako osobní údaj s dostatečnou mírou ochrany.

Minimalizace kopií

Biometrické údaje mohou být zpracovány výhradně s účelem, ke kterému byly pořízeny. Proto mohou být uloženy pouze v místě (typicky v systému), který je zpracovává a nesmí být sdíleny s jinými systémy. Konkrétně nesmí být do jiných míst přenášeny nebo nesmí být jiným systémům umožněno, aby biometrické údaje využívaly, nebo využívaly služby systému, který data zpracovává a který je pro služby poskytnuté jiným systémům předá.

  • Příklady:
    • Fakulta má fotografii studenta pořízenou za účelem vytvoření přístupové karty na pracoviště (Pozor: Pro uchovávání musí mít svobodný souhlas, který uchovávání uvádí!). Tuto fotografii nesmí pracoviště poskytnout jinému pracovišti k žádnému účelu.
    • Systém fakulty uchovává šablonu biometrického podpisu používaného pro ověření dokumentu. Tento systém nesmí nabízet službu ověření biometrického podpisu jiným systémům (např. na jiných fakultách), pokud výslovnou součástí souhlasu nebylo sdílení tohoto údaje mezi fakultami.
    • Docházkový systém uchovává hashe otisků prstů. Tento hash nesmí být součástí dat, které docházkový systém sdílí s jinými systémy, a to ani v případě, že by tyto jiné systémy hash nevyužívaly.

Logování přístupů

Pokud jsou někde uchovávány biometrické údaje, musí být veškeré přístupy k místu jejich uložení logovány.

  • Příklady:
    • Pokud jsou uloženy někde např. fotokopie osobních dokladů, musí být každý konkrétní přístup k nim zaznamenán. Není proto např. možné, aby fotokopie dokladu byla v papírové složce v zamčené skříni, jejíž klíč je pracovníkům pracoviště dostupný. (Upozornění: Pro fotokopii musí být doložitelný také výslovný souhlas).
    • Pokud je kopie vlastnoručního podpisu součástí smlouvy, smlouva nesmí být zveřejněna na internetu, ani nesmí být volně přístupná v rámci interních informačního systému tak, aby k její fotokopii s podpisem měli přístup pracovníci, kteří nepotřebují autentizovat podepisující osobu.

Zabezpečení v rámci výzkumu vedeného více pracovišti

Pokud jsou biometrické údaje zpracovávány v rámci výzkumu více pracoviště, vždy musí být maximálně uplatněna možnost jejich anonymizace před předáním jinému pracovišti.

  • Příklad:
    • Nemocnice sbírá osobní údaje i biometrická data o pacientech na základě souhlasu o zapojení do výzkumu. Data jsou analyzována na pracovišti UK. Toto pracoviště přímo osoby nekontaktuje a nepotřebuje proto znát identifikační údaje osob, kterých se data týkají. Osobní údaje včetně biometrických proto jsou vždy předávány anonymizované.
    • Pokud jsou předávány opakovaně údaje o stejných pacientech, jsou anonymizovány tak, aby pracoviště mohlo sledovat, které vzory patří ke stejné osobě, ale přesto není důvod, aby znalo jejich identitu.

Je-li nezbytné, aby pracovníci různých pracovišť spolupracovali na využívání osobních údajů včetně biometrických dat, mělo by být využito vzdáleného přístupu ke sdílenému úložišti spravovaného jednou organizací, aby byla dodržena zásada minimalizace dat i jejich kopií.

Úroveň zabezpečení vzdáleného přístupu musí být adekvátní citlivosti zpracovávaných údajů a požadavku na ověření přistupujících osob, logování jejich přístupů a dokumentace důvodů, proč se k biometrickým údajům přistupovalo. Doporučeným postupem zabezpečení jsou osobní certifikáty členů týmu nebo dvoufaktorová autentizace.

Rozsah a doba uchování údajů

V případě biometrických (i ostatních osobních údajů) musí být zajištěno, že údaje jsou zpracovávány (zahrnuje i uchovávání bez aktivního využívání) výhradně po dobu, kdy jsou nezbytně nutné pro účel, ke kterému byly pořízeny.

  • Příklad:
    • Fotografie pracovníka byla pořízena pro přístupový systém. Fotografie nesmí být uchovávána, pokud pracovník už na střežené pracoviště nechodí a jeho fotografie proto již pro identifikaci neslouží. Pokud je známo nebo existuje důvodný předpoklad, že se pracovník na pracoviště zase vrátí (např. po ukončení studijního pobytu v zahraničí), je možné jeho fotografii v systému uchovat, ale pouze v případě, že toto uchování pro budoucí znovuvyužití bylo výslovnou součástí souhlasu, který pracovník udělil. Uchování pro budoucí opakované využít je jiným způsobem využití údajů, navíc má pracovník důvod předpokládat, že údaje jsou odstraněny po ukončení jeho působnosti automaticky na základě principu minimalizace údajů.

UK smí uchovávat jenom nejmenší množství osobních údajů nezbytných pro identifikaci osoby. Nesmí uchovávat více údajů, než je nezbytné.

  • Příklad:
    • Pokud se na základě souhlasu pořizuje např. kopie osobního dokladu a není nezbytné uchovávat kopii podpisu, nesmí být podpis součástí kopie. Pokud přístupové zařízení využívá výhradně otisku prstu pro identifikaci osoby, nesmí být součástí záznamu osoby jiné biometrické údaje, např. fotografie.

Biometrické údaje nesmí být uchovávány pro účely, pro které není nezbytné uchovávat biometrické údaje, a postačily by údaje nespadající do zvláštní kategorie.

  • Příklad:
    • Nesmí být uchovávána kopie osobního dokladu subjektu za účelem možnosti ověřit údaje z něj opsané (typicky jméno příjmení, místo a datum narození). Pokud by se taková kopie uchovávala, smí obsahovat pouze uvedené ověřované osobní údaje a nikoli údaje další (fotografie, podpis nebo jakékoli další údaje, např. pohlaví). Fotokopie by musela být začerněna nebo jinak omezen obsah informací, které jsou na ní dostupné.

Zpracování z důvodu oprávněného zájmu

Bez souhlasu zaznamenaných osob může být AV záznam zpracováván výhradně na základě oprávněného zájmu. V takovém případě je třeba zpracovat balanční test a vyhodnotit, zda oprávněný zájem UK je důležitější než právo osob na ochranu soukromí.

Oprávněný zájem nikdy nemůže být důvodem ke zveřejnění záznamu širší skupině osob, např. na internetu. Výjimka z tohoto pravidla může být povolena výhradně po konzultaci s pověřencem pro ochranu osobních údajů.

Poznámka: V podobných případech, kdy data nejsou přímo součástí vědeckého výzkumu, by neměl být vědecký výzkum používán pro zdůvodnění zpracování; ten je možné výhradně ve svém významu. V opačném případě může subjekt oprávněně požadovat odstranění údajů, protože jejich odstranění neohrožuje významně splnění cíle.

Zdroje a podklady

Pokyny metodických textu se kromě legislativy opírají zejména o již vydané výroky a rozhodnutí Úřadu, které jsou pro aplikaci v rámci ČR rozhodující:

GDPR:
Nařízení EP a rady EU 2016/679 včetně následných doplnění https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679

MKG2019:
Biometrické údaje a jejich právní režim, Revue pro právo a technologie, ročník 8, číslo 2, rok 2019, dostupné online: https://journals.muni.cz/revue/article/view/8801/pdf

eprávo:
Zpracování biometrických údajů zaměstnanců https://www.epravo.cz/top/clanky/zpracovani-biometrickych-udaju-zamestnancu-109845.html

Previous article
Biometrické údaje na UK: 2.) Pravidla pro zpracování
Next article
Hybridní akademický rok 2022/2023 – doporučení

Chcete něco doplnit?

Pokud máte další zkušenosti, které s námi chcete sdílet, rady, připomínky či otázky, prosím kontaktujte nás na e-mailu:

distancnizkouseni@cuni.cz

Nejnovější články

zpět na obsah

© Univerzita Karlova