Uchovávání biometrických údajů musí být zajištěno tak, aby byly maximálně omezeny možnosti jejich zneužívání. Do kategorie zneužívání patří jakékoli využívání mimo důvody, pro které byly biometrické údaje pořízeny, a které byly výslovně uvedeny v souhlasu, který subjekt udělil.
Šifrování
Uložené údaje musí být uchovávány šifrované tak, aby nebyly využitelné bez znalosti nebo nástroje, který není spolu s údaji dostupný. Pro autentizaci jsou uchovávány biometrické šablony. Ty by měly být uchovávány tak, aby z nich nebylo možné zpětně získat ucelený biometrický údaj nebo jeho podstatnou část (tzv. hash). I hash musí být uchováván jako osobní údaj s dostatečnou mírou ochrany.1
Minimalizace kopií
Biometrické údaje mohou být zpracovány výhradně za účelem, ke kterému byly pořízeny. Proto mohou být uloženy pouze v místě (typicky v systému), který je zpracovává a nesmí být sdíleny s jinými systémy. Konkrétně nesmí být do jiných míst přenášeny nebo jiným systémům umožněno, aby biometrické údaje využívaly, nebo využívaly služby systému, který data zpracovává a který je pro služby poskytnuté jiným systémům využije.
- Příklady:
- Fakulta má fotografii studenta pořízenou za účelem vytvoření přístupové karty na pracoviště. (Pozor: Pro uchovávání musí mít svobodný souhlas, který uchovávání uvádí) Tuto fotografii nesmí pracoviště poskytnout jinému pracovišti k žádnému účelu.
- Systém fakulty uchovává šablonu biometrického podpisu používaného pro ověření dokumentu. Tento systém nesmí nabízet službu ověření biometrického podpisu jiným systémům (např. na jiných fakultách), pokud výslovnou součástí souhlasu nebylo sdílení tohoto údaje mezi fakultami.
- Docházkový systém uchovává hashe otisků prstů. Tento hash nesmí být součástí dat, které docházkový systém sdílí s jinými systémy, a to ani v případě, že by tyto jiné systémy hash nevyužívaly.
Logování přístupů
Pokud jsou někde uchovávány biometrické údaje, musí být veškeré přístupy k místu jejich uložení logovány.2
- Příklady:
- Pokud jsou uloženy někde např. fotokopie osobních dokladů, musí být každý konkrétní přístup k nim zaznamenán. Není proto např. možné, aby fotokopie dokladu byla v papírové složce v zamčené skříni, jejíž klíč je pracovníkům pracoviště dostupný. (Upozornění: Pro fotokopii musí být doložitelný také výslovný souhlas).
- Pokud je kopie vlastnoručního podpisu součástí smlouvy, smlouva nesmí být zveřejněna na internetu, ani nesmí být volně přístupná v rámci interního informačního systému tak, aby k její fotokopii s podpisem měli přístup pracovníci, kteří nepotřebují autentizovat podepisující osobu.
Zabezpečení v rámci výzkumu vedeného více pracovišti
Pokud jsou biometrické údaje zpracovávány v rámci výzkumu více pracovišť, vždy musí být maximálně uplatněna možnost jejich anonymizace před předáním jinému pracovišti.
- Příklad:
- Nemocnice sbírá osobní údaje i biometrická data o pacientech na základě souhlasu o zapojení do výzkumu. Data jsou analyzována na pracovišti UK. Toto pracoviště přímo osoby nekontaktuje a nepotřebuje proto znát identifikační údaje osob, kterých se data týkají. Osobní údaje včetně biometrických jsou proto vždy předávány anonymizované.
- Pokud jsou předávány opakovaně údaje o stejných pacientech, jsou anonymizovány tak, aby pracoviště mohlo sledovat, které vzory patří ke stejné osobě, ale přesto není důvod, aby znalo jejich identitu.
Je-li nezbytné, aby pracovníci různých pracovišť spolupracovali na využívání osobních údajů včetně biometrických dat, mělo by být využito vzdáleného přístupu ke sdílenému úložišti spravovaného jednou organizací, aby byla dodržena zásada minimalizace dat i jejich kopií.
Úroveň zabezpečení vzdáleného přístupu musí být adekvátní citlivosti zpracovávaných údajů a požadavků na ověření přistupujících osob, logování jejich přístupů a dokumentace důvodů, proč se k biometrickým údajům přistupovalo. Doporučeným postupem zabezpečení jsou osobní certifikáty členů týmu nebo dvoufaktorová autentizace.
Rozsah a doba uchovávání údajů
V případě biometrických (i ostatních osobních údajů) musí být zajištěno, že údaje jsou zpracovávány (zahrnuje i uchovávání bez aktivního využívání) výhradně po dobu, kdy jsou nezbytně nutné pro účel, ke kterému byly pořízeny.
- Příklad:
- Fotografie pracovníka byla pořízena pro přístupový systém. Fotografie nesmí být uchovávána, pokud pracovník už na střežené pracoviště nechodí a jeho fotografie proto již pro identifikaci neslouží. Pokud je známo nebo existuje důvodný předpoklad, že se pracovník na pracoviště zase vrátí (např. po ukončení studijního pobytu v zahraničí), je možné jeho fotografii v systému uchovat, ale pouze v případě, že toto uchování pro budoucí znovuvyužití bylo výslovnou součástí souhlasu, který pracovník udělil. Uchování pro budoucí opakované využití je jiným způsobem využití údajů, navíc má pracovník důvod předpokládat, že údaje jsou odstraněny po ukončení jeho působnosti automaticky na základě principů minimalizace údajů.
UK smí uchovávat jenom nejmenší množství osobních údajů nezbytných pro identifikaci osoby. Nesmí uchovávat více údajů, než je nezbytné.
- Příklad:
- Pokud se na základě souhlasu pořizuje např. kopie osobního dokladu a není nezbytné uchovávat kopii podpisu, nesmí být podpis součástí kopie. Pokud přístupové zařízení využívá výhradně otisků prstů pro identifikaci osoby, nesmí být součástí záznamu osoby jiné biometrické údaje, např. fotografie.
Biometrické údaje nesmí být uchovávány pro účely, pro které není nezbytné uchovávat biometrické údaje, a postačily by údaje nespadající do zvláštní kategorie.
- Příklad:
- Nesmí být uchovávána kopie osobního dokladu subjektu údajů za účelem možnosti ověřit údaje z něj opsané (typicky jméno, příjmení, místo a datum narození). Pokud by se taková kopie uchovávala, smí obsahovat pouze uvedené ověřované osobní údaje a nikoli údaje další (fotografie, podpis nebo jakékoli další údaje, např. pohlaví). Fotokopie by musela být začerněna nebo jinak omezen obsah informací, které jsou na ní dostupné.
Zpracování z důvodu oprávněného zájmu
Bez souhlasu zaznamenaných osob může být AV záznam zpracováván výhradně na základě oprávněného zájmu. V takovém případě je třeba zpracovat balanční test a vyhodnotit, zda oprávněný zájem UK převažuje nad právem osob na ochranu soukromí.
Oprávněný zájem nikdy nemůže být důvodem ke zveřejnění záznamu širší skupině osob, např. na internetu. Výjimka z tohoto pravidla může být povolena výhradně po konzultaci s pověřencem pro ochranu osobních údajů.
Poznámka: V podobných případech, kdy data nejsou přímo součástí vědeckého výzkumu, by neměl být vědecký výzkum používán pro zdůvodnění zpracování; ten je možné použít výhradně ve svém významu. V opačném případě může subjekt oprávněně požadovat odstranění údajů, protože jejich odstranění neohrožuje významně splnění cíle.
Zdroje a podklady:
Pokyny metodických textu se kromě legislativy opírají zejména o již vydané výroky a rozhodnutí Úřadu, které jsou pro aplikaci v rámci ČR rozhodující:
GDPR:
Nařízení EP a rady EU 2016/679 včetně následných doplnění (konsolidované znění, neobsahuje odůvodnění)
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1720599750234#C1-1
Nařízení EP a rady EU 2016/679 – odůvodnění (jde o původní právní akt bez následných doplnění)
https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32016R0679
MKG2019:
Biometrické údaje a jejich právní režim, Revue pro právo a technologie, ročník 8, číslo 2, rok 2019, dostupné online: https://journals.muni.cz/revue/article/view/8801/pdf
eprávo:
Zpracování biometrických údajů zaměstnanců https://www.epravo.cz/top/clanky/zpracovani-biometrickych-udaju-zamestnancu-109845.html
- Bylo opakovaně prokázáno, že i z tzv. „hashe“ je současnými technickými nástroji možné získat dostatek informací na vytvoření takové náhrady původních biometrických údajů, které umožňují falešné prokázání identity. Viz např. [ÚOOÚ 1]. „Hashem“ se rozumí provedení takové matematické operace, kterou není možné inverzní operací získat zpět původní biometrické údaje, ale při provedení stejné operace s jinými údaji je možné porovnat, zda nové údaje jsou dostatečně podobné šabloně.“ ↩︎
- Viz příkaz [ÚOOÚ 6], kde Úřad vytýká nedostatek: Správní orgán k dané věci dále uvádí, že logování přístupů k osobním údajům je jedním z nejzákladnějších prvků zabezpečení zpracovávaných osobních údajů v informačních systémech a zcela běžným prvkem, který automatizované systémy obsahují. V případě, že se jedná o rozsáhlé zpracování osobních údajů a bez řádného logování tak nelze zajistit, aby nedošlo k neoprávněným přístupům a jinému nedovolenému zpracování, resp. zjistit, kdo případnou změnu provedl, musí správce zajistit, aby i oprávněné osoby (v tomto případě oprávnění zaměstnanci příslušného služebního úřadu) přistupovaly k osobním údajům pouze tehdy, mají-li k tomu relevantní důvod. Oprávněnost přístupu však nelze zpětně ověřit, pokud není systém vybaven logováním. ↩︎